专栏首页FreeBuf曝泰国最大的移动运营商泄露83亿条用户数据记录

曝泰国最大的移动运营商泄露83亿条用户数据记录

昨日,安全研究人员Justin Paine在一篇文章中表明自己发现了一个公开的ElasticSearch数据库,而该数据背后直指泰国一家移动网络运营商分部AIS。目前AIS已将暴露在网络上的数据库脱机。

此次数据泄露事件波及数百万名用户,数据记录达83亿条,容量约为 4.7 TB,每 24 小时增加 2 亿记录。该数据库无需密码即可访问,包括DNS查询和Netflow数据。

这些数据泄露的后果就是,相关用户的网络行为都可以为他人甚至是不法分子,实时了解。

随后,安全研究人员这个bug报告给了AIS和泰国国家计算机紧急应急小组ThaiCERT,之后AIS关闭数据库,停止其他用户任意访问。

AIS 是泰国最大的GSM移动运营商,用户约有4000万。此次可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制。

“这不是我们用户的个人数据,我们没有一个客户受到影响,没有财务损失。”在这数据泄露事件曝出后,公关负责人Saichon Sapmak-udom发布了这个声明。相关负责人否认这次的用户数据泄露,并表示只是一项改善网络服务的测试。

83亿数据泄露时间长达三周

根据BinaryEdge中的可用数据,该数据库于2020年5月1日首次允许公开访问。2020年5月7日,约六天后,安全研究人员发现了该数据库。

该数据库无需身份验证即可查看,包含部分三个ElasticSearch节点集群。

在泄露的三周时间内,数据量不断增长,每24小时则添加约2亿行新数据。截至2020年5月21日,数据库中存储了8,336,189,132个文档。此数据包含NetFlow数据和DNS查询日志。

DNS查询流量仅记录了大约8天(2020-04-30 20:00 UTC-2020-05-07 07:00 UTC),捕获了3,376,062,859个DNS查询日志。目前尚不清楚他们为何在这段短暂的时间后停止记录DNS查询。

关键数据点

数量

已记录的DNS查询

3,376,062,859 每秒2,538

唯一的源IP可以在48小时内记录DNS

11,482,414

超过48小时的rrname(DNS查询值)的唯一计数

2,216,07

其余大约50亿行数据是NetFlow数据,NetFlow数据以每秒大约3200个事件的速度记录。这类信息记录了源IP向特定的目标IP发送了不同类型的流量,以及传输了多少数据。

在上图中,这是对目标IP地址的HTTPS(TCP端口443)请求。可以在目标IP上进行反向DNS查找,以快速识别此人将使用哪个HTTPS网站。

数据利用的潜在危害

在安全研究人员的博客中可以看到,他选择了一个流量低至中等的单个源IP地址验证DNS查询日志的重要性。对于这个IP地址,数据库包含668个Netflow记录。该数据库还详细列出了从这个IP获取的流量类型,比如DNS流量、HTTP、HTTPS、SMTP等。

由此可见,仅根据DNS查询,就可以确定相关用户的详细信息:

他们至少有1台Android设备 他们要么拥有Samsung Android设备,要么拥有其他三星设备,例如连接互联网的电视。 他们至少有1台Windows设备 他们至少有1台Apple设备 他们使用Google Chrome浏览器 他们使用Microsoft Office 他们使用ESET防病毒软件 他们访问了以下社交媒体网站:Facebook,Google,YouTube,TikTok,微信

这类数据意外泄露事件时常发生,因此也更值得企业和厂商的关注。

首先,ElasticSearch和Kibana需要有更安全和合理的默认设置,如果企业人员要将数据库公布在网络上,更需要谨慎。如果发现无需任何身份验证即可公开访问,则需要提醒和警告用户。 其次,从用户ISP中获取NetFlow和sFlow数据会泄露个人信息,可以使用DoH或DoT来保护用户的DNS通信在传输过程中的安全,让用户的ISP无法被看到、记录、监视甚至有时出售DNS查询流量。

事件时间线:

2020年5月7日,安全研究人员发现公开的ElasticSearch数据库; 2020年5月13日 ,联系数据库所有者AIS; 2020年5月13日至21日,多次尝试联系未果; 2020年5月21日 ,将该问题提交给ThaiCERT; 2020年5月22日 ,停止数据库访问。

参考链接:

泰国数据库泄漏了83亿条互联网记录 庞大的80亿泰国互联网记录数据库泄漏

*本文作者:Sandra1432,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Sandra1432

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 基于Casbin的Docker权限管理访问控制插件

    Docker是目前主流的一种容器技术。为了解决多用户同时访问Docker时产生的安全问题,Docker设计了访问控制插件(Authorization Plugi...

    FB客服
  • IoT设备网络数据包抓包改包环境搭建分享

    这部分主要还是比较底层的抓包。这里就不过多的介绍了,毕竟好多大神的文章都写的很详细,主要内容还是以第三为主。

    FB客服
  • 获取来源IP地址的正确姿势

    背景 笔者从去年6月份开始研究IP地址,陆续踩了很多很多坑,也结识了一大批同行业的前辈。 我能说我是这个圈子里年龄最小的么…..我一直在承受我这个年纪不该有的...

    FB客服
  • 移动运营商AIS泄漏了83亿条用户数据 容量约4.7 TB

    数据猿报道 安全研究人员贾斯汀·潘恩(Justin Paine)在一篇文章中表明自己发现了一个公开的ElasticSearch数据库,而该数据背后直指泰国一家移...

    数据猿
  • [Rust][权限控制][Casbin] Rust 下成熟好用的权限控制库

    Casbin是基于 Go 语言的权限控制库。它支持 ACL, RBAC, ABAC 等常用的访问控制模型。

    MikeLoveRust
  • 电脑设置了静态IP,但还是分配了动态IP169.254..,且不能上网

    给电脑手动配置静态IP仍然上不去网,ipconfig后发现网卡上IP不是自己配置的IP,而是一个169.254.xx.xx自动获取的一个IP

    vv彭
  • 劳动节 | 说说代理池

    近期由于工作中的遇到的问题,在研究代理池,其实代理池应该说已经是比较成熟的技术,而且在飞速发展,比如现在主流的“秒拨”技术,给企业在风险IP识别和判定上带来极大...

    tinyfisher
  • MySQL数据库——数据库CRUD之基本DDL操作数据库及DML操作表

    SQL,Structured Query Language,结构化查询语言,其实就是定义了操作所有关系型数据库的规则。但是每种数据库厂商不一样,每一种数据库操作...

    Winter_world
  • 网络编程 | TCP/IP基础知识

    在2017年10月深圳 Cocos 沙龙上,有幸结识了社区中大名顶顶的Colin,Shawn在论坛上第一次看到Colin的团队用CocosCreator制作的《...

    张晓衡
  • 012 修改 hosts 文件的原理是什么

    为了方便用户记忆,我们将IP变成一个个的域名来输入到浏览器进行访问。而这使得访问网站时要先将其域名解析成 IP 。DNS (Domain Name Server...

    上善若水.夏

扫码关注云+社区

领取腾讯云代金券