昨日，安全研究人員Justin Paine在一篇文章中表明自己發(fā)現(xiàn)了一個(gè)公開(kāi)的ElasticSearch數(shù)據(jù)庫(kù)，而該數(shù)據(jù)背后直指泰國(guó)一家移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商分部AIS。目前AIS已將暴露在網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)脫機(jī)。

此次數(shù)據(jù)泄露事件波及數(shù)百萬(wàn)名用戶，數(shù)據(jù)記錄達(dá)83億條，容量約為 4.7 TB，每 24 小時(shí)增加 2 億記錄。該數(shù)據(jù)庫(kù)無(wú)需密碼即可訪問(wèn)，包括DNS查詢和Netflow數(shù)據(jù)。

這些數(shù)據(jù)泄露的后果就是，相關(guān)用戶的網(wǎng)絡(luò)行為都可以為他人甚至是不法分子，實(shí)時(shí)了解。

隨后，安全研究人員這個(gè)bug報(bào)告給了AIS和泰國(guó)國(guó)家計(jì)算機(jī)緊急應(yīng)急小組ThaiCERT，之后AIS關(guān)閉數(shù)據(jù)庫(kù)，停止其他用戶任意訪問(wèn)。

AIS 是泰國(guó)最大的GSM移動(dòng)運(yùn)營(yíng)商，用戶約有4000萬(wàn)。此次可公開(kāi)訪問(wèn)的數(shù)據(jù)庫(kù)由其子公司 Advanced Wireless Network (AWN)控制。

“這不是我們用戶的個(gè)人數(shù)據(jù)，我們沒(méi)有一個(gè)客戶受到影響，沒(méi)有財(cái)務(wù)損失。”在這數(shù)據(jù)泄露事件曝出后，公關(guān)負(fù)責(zé)人Saichon Sapmak-udom發(fā)布了這個(gè)聲明。相關(guān)負(fù)責(zé)人否認(rèn)這次的用戶數(shù)據(jù)泄露，并表示只是一項(xiàng)改善網(wǎng)絡(luò)服務(wù)的測(cè)試。

83億數(shù)據(jù)泄露時(shí)間長(zhǎng)達(dá)三周

根據(jù)BinaryEdge中的可用數(shù)據(jù)，該數(shù)據(jù)庫(kù)于2020年5月1日首次允許公開(kāi)訪問(wèn)。2020年5月7日，約六天后，安全研究人員發(fā)現(xiàn)了該數(shù)據(jù)庫(kù)。

該數(shù)據(jù)庫(kù)無(wú)需身份驗(yàn)證即可查看，包含部分三個(gè)ElasticSearch節(jié)點(diǎn)集群。

在泄露的三周時(shí)間內(nèi)，數(shù)據(jù)量不斷增長(zhǎng)，每24小時(shí)則添加約2億行新數(shù)據(jù)。截至2020年5月21日，數(shù)據(jù)庫(kù)中存儲(chǔ)了8,336,189,132個(gè)文檔。此數(shù)據(jù)包含NetFlow數(shù)據(jù)和DNS查詢?nèi)罩尽?/p>

DNS查詢流量?jī)H記錄了大約8天(2020-04-30 20:00 UTC-2020-05-07 07:00 UTC)，捕獲了3,376,062,859個(gè)DNS查詢?nèi)罩尽Ｄ壳吧胁磺宄麄優(yōu)楹卧谶@段短暫的時(shí)間后停止記錄DNS查詢。

其余大約50億行數(shù)據(jù)是NetFlow數(shù)據(jù)，NetFlow數(shù)據(jù)以每秒大約3200個(gè)事件的速度記錄。這類信息記錄了源IP向特定的目標(biāo)IP發(fā)送了不同類型的流量，以及傳輸了多少數(shù)據(jù)。

在上圖中，這是對(duì)目標(biāo)IP地址的HTTPS(TCP端口443)請(qǐng)求。可以在目標(biāo)IP上進(jìn)行反向DNS查找，以快速識(shí)別此人將使用哪個(gè)HTTPS網(wǎng)站。

數(shù)據(jù)利用的潛在危害

在安全研究人員的博客中可以看到，他選擇了一個(gè)流量低至中等的單個(gè)源IP地址驗(yàn)證DNS查詢?nèi)罩镜闹匾?。?duì)于這個(gè)IP地址，數(shù)據(jù)庫(kù)包含668個(gè)Netflow記錄。該數(shù)據(jù)庫(kù)還詳細(xì)列出了從這個(gè)IP獲取的流量類型，比如DNS流量、HTTP、HTTPS、SMTP等。

由此可見(jiàn)，僅根據(jù)DNS查詢，就可以確定相關(guān)用戶的詳細(xì)信息：

• 他們至少有1臺(tái)Android設(shè)備
• 他們要么擁有Samsung Android設(shè)備，要么擁有其他三星設(shè)備，例如連接互聯(lián)網(wǎng)的電視。
• 他們至少有1臺(tái)Windows設(shè)備
• 他們至少有1臺(tái)Apple設(shè)備
• 他們使用Google Chrome瀏覽器
• 他們使用Microsoft Office
• 他們使用ESET防病毒軟件
• 他們?cè)L問(wèn)了以下社交媒體網(wǎng)站：Facebook，Google，YouTube，TikTok，微信

這類數(shù)據(jù)意外泄露事件時(shí)常發(fā)生，因此也更值得企業(yè)和廠商的關(guān)注。

• 首先，ElasticSearch和Kibana需要有更安全和合理的默認(rèn)設(shè)置，如果企業(yè)人員要將數(shù)據(jù)庫(kù)公布在網(wǎng)絡(luò)上，更需要謹(jǐn)慎。如果發(fā)現(xiàn)無(wú)需任何身份驗(yàn)證即可公開(kāi)訪問(wèn)，則需要提醒和警告用戶。
• 其次，從用戶ISP中獲取NetFlow和sFlow數(shù)據(jù)會(huì)泄露個(gè)人信息，可以使用DoH或DoT來(lái)保護(hù)用戶的DNS通信在傳輸過(guò)程中的安全，讓用戶的ISP無(wú)法被看到、記錄、監(jiān)視甚至有時(shí)出售DNS查詢流量。

事件時(shí)間線：

• 2020年5月7日，安全研究人員發(fā)現(xiàn)公開(kāi)的ElasticSearch數(shù)據(jù)庫(kù);
• 2020年5月13日 ，聯(lián)系數(shù)據(jù)庫(kù)所有者AIS;
• 2020年5月13日至21日，多次嘗試聯(lián)系未果;
• 2020年5月21日 ，將該問(wèn)題提交給ThaiCERT;
• 2020年5月22日 ，停止數(shù)據(jù)庫(kù)訪問(wèn)。