Breaking News
AMR | Sophos Webinar

ข้อมูลการใช้งานอินเทอร์เน็ตของคนไทย 8,300,000,000 Record รั่วไหลผ่านอินเทอร์เน็ต

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพบฐานข้อมูลที่มี Log DNS Query และ Netflow ของบริษัท AWN เปิดเข้าถึงได้ผ่านอินเทอร์เน็ตโดยไม่มีการป้องกัน ซึ่งมีข้อมูลกว่า 8.3 พันล้าน Record ทั้งนี้ฐานข้อมูล ElasticsSearch ถูกพบผ่านเครื่องมือค้นหา BinaryEdge และ Shodan

สำหรับเราเองคงรู้แล้ว่า AWN (AS131445) มีการวิ่ง Peer ผ่าน AIS (AS45430) เหตุการณ์โดยสรุปจากที่ผู้เชี่ยวชาญเปิดเผยคือคาดว่าฐานข้อมูลน่าจะถูกเปิดเผยผ่านอินเทอร์เน็ตมาตั้งแต่วันที่ 1 พฤษภาคมแล้ว แต่ว่าผู้เชี่ยวชาญเองเพิ่งจะพบวันที่ 7 ต่อมาพยายามติดต่อเจ้าของแต่ไม่สำเร็จจึงไปขอความช่วยเหลือนักข่าว TechCrunch และติดต่อผ่าน ThaiCERT แทนเพื่อแจ้งเหตุวันที่ 21 จากนั้นวันที่ 22 ฐานข้อมูลจึงถูกแก้ไข (อย่างไรไม่แน่ชัดแค่ว่าเข้าถึงไม่ได้แล้ว)

ผู้เชี่ยวชาญได้อะไรมา?

ผู้เชี่ยวชาญพบคลัสเตอร์ฐานข้อมูล 3 โหนดของ ElasticSearch และมีอันที่ 4 ด้วย ประเด็นคือข้อมูลเพิ่มประมาณ 200 ล้าน Row ต่อวัน ซึ่งยอดของวันที่ 21 คือ 8,336,189,132 ทั้งนี้ข้อมูลประกอบด้วย Log ของ DNS Query และ NetFlow ของลูกค้า โดยแสดงได้จากตารางข้อมูลด้านล่าง

จากข้อมูลขยายผลได้ว่า AWN มีการใช้ ElastiFlow เพื่อรับข้อมูล NetFlow หรือ sFlow มาเก็บใน ElasticSearch และแสดงผลด้วย Kibana แถมยังมี Dashboard เพื่อดู DNS Log ซึ่งแสดงโดเมนและ IP สูงสุด รวมถึงมี Dashboard ที่คัดกรองสนใจพิเศษกับทราฟฟิคของ Facebook

นอกจากนี้ผู้เชี่ยวชาญยังได้สุ่มข้อมูล DNS (ที่มีปริมาณน้อยหน่อยมาโฟกัสกลัวจะกระทบในวงกว้าง) โดยสรุปได้ว่าผู้ใช้ในไอพีนั้นใช้ แอนดรอยด์, อุปกรณ์ซัมซุง, มีการใช้ Windows, Apple Chrome, Microsoft Office, ESET Antivirus และ Social Media เช่น Facebook, Twitter, YouTube, TikTok, WeChat เป็นต้น อย่างไรก็ตามเป็นตัวอย่างแค่ข้อมูลเล็กๆ ชุดเดียวประกอบกัน จาก 8 พันกว่าล้าน Record

ด้วยเหตุนี้เองแม้ว่าเหตุการณ์อาจจะถูกแก้ไขแล้วแต่สิ่งที่เกิดขึ้นไปแล้วก็หวนคืนไม่ได้ ยังไงก็แล้วแต่เราไม่สามารถซ่อนข้อมูลเครือข่ายจาก ISP จาก (IP ไหนไปไหน)ได้ ดังนั้นอย่างน้อยควรจะเริ่มใช้ DoH หรือ DoT กันได้แล้วครับ อีกฝั่งก็คือผู้ใช้งาน Kibana และ Elastics Search ก็ต้องระมัดระวังเพราะนี่ไม่ใช่เหตุการณ์ครั้งแรกที่ข้อมูลหลุดครับ

ที่มา :  https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Data Security – Protect Data Where it Lives โดย McAfee

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Exclusive Networks | McAfee Webinar เรื่อง “Data Security – Protect Data Where it Lives” …

[Video Webinar] ก้าวสู่อันตรายใหม่ – จาก DDoS สู่ Smart DDoS โดย Netscout

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Netscout Webinar เรื่อง “ก้าวสู่อันตรายใหม่ – จาก DDoS สู่ Smart DDoS” พร้อมอัปเดตเทรนด์การโจมตีแบบ DDoS ล่าสุดในปี 2020 …