ข้อมูลการใช้งานอินเทอร์เน็ตของคนไทย 8,300,000,000 Record รั่วไหลผ่านอินเทอร์เน็ต

11

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพบฐานข้อมูลที่มี Log DNS Query และ Netflow ของบริษัท AWN เปิดเข้าถึงได้ผ่านอินเทอร์เน็ตโดยไม่มีการป้องกัน ซึ่งมีข้อมูลกว่า 8.3 พันล้าน Record ทั้งนี้ฐานข้อมูล ElasticsSearch ถูกพบผ่านเครื่องมือค้นหา BinaryEdge และ Shodan

สำหรับเราเองคงรู้แล้ว่า AWN (AS131445) มีการวิ่ง Peer ผ่าน AIS (AS45430) เหตุการณ์โดยสรุปจากที่ผู้เชี่ยวชาญเปิดเผยคือคาดว่าฐานข้อมูลน่าจะถูกเปิดเผยผ่านอินเทอร์เน็ตมาตั้งแต่วันที่ 1 พฤษภาคมแล้ว แต่ว่าผู้เชี่ยวชาญเองเพิ่งจะพบวันที่ 7 ต่อมาพยายามติดต่อเจ้าของแต่ไม่สำเร็จจึงไปขอความช่วยเหลือนักข่าว TechCrunch และติดต่อผ่าน ThaiCERT แทนเพื่อแจ้งเหตุวันที่ 21 จากนั้นวันที่ 22 ฐานข้อมูลจึงถูกแก้ไข (อย่างไรไม่แน่ชัดแค่ว่าเข้าถึงไม่ได้แล้ว)

ผู้เชี่ยวชาญได้อะไรมา?

ผู้เชี่ยวชาญพบคลัสเตอร์ฐานข้อมูล 3 โหนดของ ElasticSearch และมีอันที่ 4 ด้วย ประเด็นคือข้อมูลเพิ่มประมาณ 200 ล้าน Row ต่อวัน ซึ่งยอดของวันที่ 21 คือ 8,336,189,132 ทั้งนี้ข้อมูลประกอบด้วย Log ของ DNS Query และ NetFlow ของลูกค้า โดยแสดงได้จากตารางข้อมูลด้านล่าง

จากข้อมูลขยายผลได้ว่า AWN มีการใช้ ElastiFlow เพื่อรับข้อมูล NetFlow หรือ sFlow มาเก็บใน ElasticSearch และแสดงผลด้วย Kibana แถมยังมี Dashboard เพื่อดู DNS Log ซึ่งแสดงโดเมนและ IP สูงสุด รวมถึงมี Dashboard ที่คัดกรองสนใจพิเศษกับทราฟฟิคของ Facebook

นอกจากนี้ผู้เชี่ยวชาญยังได้สุ่มข้อมูล DNS (ที่มีปริมาณน้อยหน่อยมาโฟกัสกลัวจะกระทบในวงกว้าง) โดยสรุปได้ว่าผู้ใช้ในไอพีนั้นใช้ แอนดรอยด์, อุปกรณ์ซัมซุง, มีการใช้ Windows, Apple Chrome, Microsoft Office, ESET Antivirus และ Social Media เช่น Facebook, Twitter, YouTube, TikTok, WeChat เป็นต้น อย่างไรก็ตามเป็นตัวอย่างแค่ข้อมูลเล็กๆ ชุดเดียวประกอบกัน จาก 8 พันกว่าล้าน Record

ด้วยเหตุนี้เองแม้ว่าเหตุการณ์อาจจะถูกแก้ไขแล้วแต่สิ่งที่เกิดขึ้นไปแล้วก็หวนคืนไม่ได้ ยังไงก็แล้วแต่เราไม่สามารถซ่อนข้อมูลเครือข่ายจาก ISP จาก (IP ไหนไปไหน)ได้ ดังนั้นอย่างน้อยควรจะเริ่มใช้ DoH หรือ DoT กันได้แล้วครับ อีกฝั่งก็คือผู้ใช้งาน Kibana และ Elastics Search ก็ต้องระมัดระวังเพราะนี่ไม่ใช่เหตุการณ์ครั้งแรกที่ข้อมูลหลุดครับ

ที่มา :  https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/

ที่มา : https://www.techtalkthai.com/