泰國最大電信業者AIS數千萬用戶即時網路瀏覽資料外洩

• 發布日期：109-05-26
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 泰國最大電信業者AIS數千萬用戶即時網路瀏覽資料外洩https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16399

美國網路安全公司Cloudflare安全主管Justin Paine近期揭露一個公開且無須密碼即可存取之ElasticSearch資料庫，內容包含網域名稱系統(Domain Name System, DNS)之查詢紀錄與NetFlow網路傳輸紀錄等數據，Justin Paine指出這些數據隸屬於泰國最大電信業者AIS(Advanced Info Service)旗下子公司AWN(Advanced Wireless Network)。該資料庫雖無儲存密碼與電子郵件內容等機敏資訊，但卻以未加密方式存放數千萬用戶之數十億筆即時網路瀏覽紀錄，有心人士可從中得知特定IP之網路瀏覽行為。

該公開資料庫上存放逾33億筆DNS即時查詢紀錄，查詢來源涉及上千萬個獨立IP，另有約50億筆NetFlow紀錄，每秒紀錄約3,200個事件，且在24小時內紀錄涵蓋超過100萬個非重覆IP資料。儘管資料庫並未存放使用者個人資訊或憑證，僅有DNS查詢與NetFlow紀錄，但Justin Paine認為，透過DNS查詢紀錄即可得知個人或一個家庭之網路使用行為，因此該資料庫內容應視為機敏資訊。為證實此說法，Justin Paine選擇某個特定IP進行分析，該筆IP在資料庫中有668筆流量紀錄，包括DNS、HTTP、HTTPS及SMTP等資訊，其中DNS查詢紀錄可曝露該IP網路瀏覽行為，如曾造訪Facebook 28次、Google 21次、並使用蘋果網路、三星網路、微軟Office軟體、Chrome瀏覽器、ESET防毒軟體、TikTok及微信等線上社群服務，進而判斷該使用者或該家庭至少擁有1個蘋果裝置與三星裝置，並習慣使用Chrome瀏覽器、Office軟體及ESET防毒軟體，同時相關紀錄可揭露所造訪之社交網路。
Justin Paine於5月7日發現公開之ElasticSearch資料庫，並指出該資料庫自5月1日起即可公開存取，業經多次聯繫AIS未果，最終聯繫泰國國家電腦事件處理中心(ThaiCERT)協調處理後，AWN於5月22日將資料庫自網路上移除。