25 พ.ค. 2563 6,395 1,006

พบฐานข้อมูลเก็บประวัติการใช้อินเทอร์เน็ต ของลูกค้า AIS หลุด 8.3 พันล้านรายการ

พบฐานข้อมูลเก็บประวัติการใช้อินเทอร์เน็ต ของลูกค้า AIS หลุด 8.3 พันล้านรายการ

 

  • ข้อมูลที่หลุด มาจากบริษัทย่อยของ Advanced Info Service หรือ AIS
  • ตามข้อมูลของ AWN (AS131445) เชื่อมต่อตรงกับ AIS (AS45430) ซึ่งฝั่ง AIS นั้นเป็นเพียง upstream peer เท่านั้น
  • ThaiCERT พยายามติดต่อ AIS แจ้ง ข้อมูลในฐานข้อมูล (database) รั่วไหล และให้แก้ไขปิดช่องโหว่ รูรั่วของ database ซึ่งเข้าถึงได้สาธารณะโดยไม่ต้องใช้รหัสผ่าน

Timeline ของเหตุการณ์นี้คือ ฐานข้อมูลบน BinaryEdge ถูกค้นพบว่ามีช่องโหว่ รูรั่ว วันที่ 1 พฤษภาคม 2020 แต่มีการค้นพบว่า ข้อมูลรั่ว วันที่ 7 พฤษภาคม ในอีก 6 วันถัดมา แต่กว่าจะติดต่อแจ้งได้ ก็ปาเข้าไป 3 สัปดาห์ วันที่ 21 พฤษถาคม

ข้อมูลที่รั่ว เป็นข้อมูลการใช้อินเทอร์เน็ต ของลูกค้า AWN กว่า 8 พันล้านรายการ ซึ่งเป็น log หรือประวัติการเข้าถึงอินเทอร์เน็ต เรียกหาหมายเลข IP จากโดเมน หรือ DNS query

ข้อมูลรั่วไหลเป็นระยะเวลา 3 สัปดาห์ โดยมีข้อมูลหลุดประมาณ 200 ล้านรายการในทุก 24 ชั่วโมง จนกระทั่งวันที่ 21 พฤษภาคม 2020 พบว่ามีข้อมูลรั่วไหลทั่งหมด 8,336,189,132 รายการ ในจำนวนนี้รวมถึง NetFlow data และ DNS query logs

ข้อมูลที่หลุด คืออะไร?

AWN ใช้เครื่องมือที่ชื่อว่า ElastiFlow ซอฟท์แวร์ Netflow monitoring ซึ่งใช้ประมวลผลข้อมูล NetFlow หรือ sFlow บน Elasticsearch สิ่งที่หลุด ทำให้รู้ว่า ผู้ใช้ ใช้อุปกรณ์อะไร เข้าเว็บอะไร ใช้ OS อะไร ผ่านเลข IP อะไร ไปจนถึงรู้ว่าใช้ Antivirus อะไร สิ่งที่ได้นี้คือ "Geo IP" คือทราบ geographic ในการใช้งานอินเทอร์เน็ต 

DNS queries คืออะไร?

ปกติเวลาเราใช้เน็ต ทุกครั้งที่เราเข้าเว็บไซต์ เบราวเซอร์จะเข้าผ่าน IP address (แต่เราจำชื่อเรียก ชื่อเว็บ ง่ายๆ แต่หลังบ้านเวลาเข้าจริงๆ มันคือตัวเลข IP Address) แต่ DNS queries จะไม่เก็บข้อมูลส่วนบุคคล เช่น แช็ต อีเมล์ ไม่เก็บรหัสผ่าน แต่รู้ว่า เส้นทางเราเดินทางไปที่ไหน เข้าเว็บอะไร จากเครื่องอะไร ใช้แอปอะไร เท่านั้น

อ่านรายละเอียดได้ที่ rainbowtabl.es/ และ techcrunch

COMMENTS