ข้อมูลการใช้งานอินเทอร์เน็ตของคนไทย 8,300,000,000 Record รั่วไหลผ่านอินเทอร์เน็ต

May 25, 2020 Cybersecurity, Network Security, Vulnerability and Risk Management

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพบฐานข้อมูลที่มี Log DNS Query และ Netflow ของบริษัท AWN เปิดเข้าถึงได้ผ่านอินเทอร์เน็ตโดยไม่มีการป้องกัน ซึ่งมีข้อมูลกว่า 8.3 พันล้าน Record ทั้งนี้ฐานข้อมูล ElasticsSearch ถูกพบผ่านเครื่องมือค้นหา BinaryEdge และ Shodan

สำหรับเราเองคงรู้แล้ว่า AWN (AS131445) มีการวิ่ง Peer ผ่าน AIS (AS45430) เหตุการณ์โดยสรุปจากที่ผู้เชี่ยวชาญเปิดเผยคือคาดว่าฐานข้อมูลน่าจะถูกเปิดเผยผ่านอินเทอร์เน็ตมาตั้งแต่วันที่ 1 พฤษภาคมแล้ว แต่ว่าผู้เชี่ยวชาญเองเพิ่งจะพบวันที่ 7 ต่อมาพยายามติดต่อเจ้าของแต่ไม่สำเร็จจึงไปขอความช่วยเหลือนักข่าว TechCrunch และติดต่อผ่าน ThaiCERT แทนเพื่อแจ้งเหตุวันที่ 21 จากนั้นวันที่ 22 ฐานข้อมูลจึงถูกแก้ไข (อย่างไรไม่แน่ชัดแค่ว่าเข้าถึงไม่ได้แล้ว)

ผู้เชี่ยวชาญได้อะไรมา?

ผู้เชี่ยวชาญพบคลัสเตอร์ฐานข้อมูล 3 โหนดของ ElasticSearch และมีอันที่ 4 ด้วย ประเด็นคือข้อมูลเพิ่มประมาณ 200 ล้าน Row ต่อวัน ซึ่งยอดของวันที่ 21 คือ 8,336,189,132 ทั้งนี้ข้อมูลประกอบด้วย Log ของ DNS Query และ NetFlow ของลูกค้า โดยแสดงได้จากตารางข้อมูลด้านล่าง

จากข้อมูลขยายผลได้ว่า AWN มีการใช้ ElastiFlow เพื่อรับข้อมูล NetFlow หรือ sFlow มาเก็บใน ElasticSearch และแสดงผลด้วย Kibana แถมยังมี Dashboard เพื่อดู DNS Log ซึ่งแสดงโดเมนและ IP สูงสุด รวมถึงมี Dashboard ที่คัดกรองสนใจพิเศษกับทราฟฟิคของ Facebook

นอกจากนี้ผู้เชี่ยวชาญยังได้สุ่มข้อมูล DNS (ที่มีปริมาณน้อยหน่อยมาโฟกัสกลัวจะกระทบในวงกว้าง) โดยสรุปได้ว่าผู้ใช้ในไอพีนั้นใช้ แอนดรอยด์, อุปกรณ์ซัมซุง, มีการใช้ Windows, Apple Chrome, Microsoft Office, ESET Antivirus และ Social Media เช่น Facebook, Twitter, YouTube, TikTok, WeChat เป็นต้น อย่างไรก็ตามเป็นตัวอย่างแค่ข้อมูลเล็กๆ ชุดเดียวประกอบกัน จาก 8 พันกว่าล้าน Record

ด้วยเหตุนี้เองแม้ว่าเหตุการณ์อาจจะถูกแก้ไขแล้วแต่สิ่งที่เกิดขึ้นไปแล้วก็หวนคืนไม่ได้ ยังไงก็แล้วแต่เราไม่สามารถซ่อนข้อมูลเครือข่ายจาก ISP จาก (IP ไหนไปไหน)ได้ ดังนั้นอย่างน้อยควรจะเริ่มใช้ DoH หรือ DoT กันได้แล้วครับ อีกฝั่งก็คือผู้ใช้งาน Kibana และ Elastics Search ก็ต้องระมัดระวังเพราะนี่ไม่ใช่เหตุการณ์ครั้งแรกที่ข้อมูลหลุดครับ

ที่มา :  https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ออกแพตช์แก้ช่องโหว่ Zero-day บน Catalyst SD-WAN Manager ที่ถูกใช้โจมตียกระดับสิทธิ์เป็น root

Cisco ปล่อยอัปเดตด้านความปลอดภัยแก้ช่องโหว่บน Catalyst SD-WAN Manager (เดิมคือ SD-WAN vManage) หลังพบว่าถูกใช้โจมตีจริงในลักษณะ Zero-day เพื่อยกระดับสิทธิ์เป็น root บนระบบที่ได้รับผลกระทบ

[Video] SYMPHONT x FORTINET Webinar: Secures Networks Today and in the Future byConverging AI-Powered Security

Symphony Communication ร่วมกับ Fortinet Thailand จัดงานสัมมนาออนไลน์ หัวข้อ “Secures Networks Today and in the Future byConverging …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand