泰国最大蜂窝网络AIS数据库脱机，八十多亿实时互联网记录泄漏

大数据文摘出品

作者：刘俊寰

数据泄露事件再出，这次遭殃的是泰国互联网用户。

近日，泰国最大的蜂窝网络AIS被指使数据库脱机，数十亿实时互联网记录遭到泄漏，涉及到数百万泰国互联网用户，80多亿互联网记录。

安全研究员Justin Paine表示，根据BinaryEdge中的可用数据，该数据库于5月1日首次被公开并允许任何人访问。在博客文章中，Paine对整个事件进行了梳理。

根据泰国互联网监视法，泰国当局拥有对互联网用户数据的全面访问权限，不仅如此，泰国还拥有亚洲最严格的审查制度，禁止用户对泰国王室、国家安全和某些政治问题提出任何批评。

2017年，在两年前的政变中上台泰国军政府在全国范围内对Facebook的禁令进行了更严格的规定，原因是Facebook拒绝接受来自泰国官方的审查。

在博客文章中，Paine表示，他在没有使用密码的情况下就轻松找到了包含DNS查询和Netflow数据的数据库，通过访问该数据库，任何人都可以“快速描绘”互联网用户（或及其家庭）的实时动态。

同时，Paine还发现，在大约3周的时间内，该数据库的呈爆发式增长，每24小时新添加的数据大约有2亿行，截至2020年5月21日，数据库中已经存储有8,336,189,132个文档。

Paine观察到，他们只记录了从4月30日到5月7日的情况，短短八天内，他们就捕获到了3,376,062,859个DNS查询日志，大约每秒2538个。在此之后，他们便停止记录了DNS查询，目前尚不清楚他们这么做的原因，也许获得的数据要比他们打算捕获的要多得多。

在确认泄漏事件后，Paine于5月13日向AIS提交了通知，但一周后仍然没有回音，随后，Paine便向泰国国家计算机紧急响应小组ThaiCERT报告了这一安全漏洞，该小组立即与AIS取得了联系，正在针对这一事件进行调查。在这不久后，该数据库便无法访问。

AIS发言人Sudaporn Watcharanisakorn确认AIS对数据的所有权，并对此次安全漏洞道歉，“我们可以确定，在五月份的预定测试中，在有限的时间内公开了少量非个人，非关键的信息”，“所有数据均与互联网使用模式有关，不包含可用于识别任何客户的个人信息”，“在这种情况下，我们承认我们的程序不完善，对此深表歉意。”

但事实上并非如此。DNS查询是使用互联网的正常副作用，每次访问网站时，浏览器都会将网址转换为IP地址，从而告诉浏览器网页的位置。尽管DNS查询不包含电子邮件或密码等私人敏感消息，但它们可以识别用户访问的网站以及使用的应用程序。

AWN使用了一个名为ElastiFlow的工具，该工具简化了将NetFlow或sFlow数据获取到Elasticsearch中的过程，在那里可以使用Kibana快速可视化。预建的“地理IP”仪表板总结了被捕获流量的地理分布情况，不出所料，大部分的流量来自泰国，尽管也有相当数量的流量来自周边国家。

这对于记者和激进主义者们来说，数据泄露后他们的风险系数更高，因为他们的互联网记录可用于追踪和识别信源。

DNS查询数据还可以用于深入了解一个人的互联网活动。Paine利用数据展示了任何人都有权访问数据库，并从中获取某些信息，比如用户拥有的设备、他们运行的病毒软件、使用的浏览器以及社交网络、经常打开的媒体应用和网站。考虑到在家庭或办公室中，许多人共享同一个网络连接，这也使得利用网络活动追溯到特定个人变得更加困难。

在博客中，Paine对未来如何防范相关事再发生提出了两点建议，首先是对于ElasticSearch和Kibana而言，需要公司设定更安全和合理的默认值，其次用户也有必要使用DoH或DoT保护DNS通信在传输过程中的安全。

相关报道：

https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/?=may-23-2020

https://techcrunch.com/2020/05/24/thai-billions-internet-records-leak/