Η έκθεση μιας βάσης δεδομένων της AIS στο διαδίκτυο επέτρεψε τη διαρροή Internet records δισεκατομμυρίων Ταϊλανδέζων χρηστών.
Το μεγαλύτερο δίκτυο κινητής τηλεφωνίας της Ταϊλάνδης, AIS, έβγαλε εκτός σύνδεσης μια βάση δεδομένων, η οποία επέτρεπε στον καθένα να δει τη διαδικτυακή συμπεριφορά δισεκατομμυρίων χρηστών.
Ο ερευνητής ασφαλείας Justin Paine είπε ότι βρήκε στο διαδίκτυο τη βάση δεδομένων, που περιείχε DNS queries και Netflow data, χωρίς κωδικό πρόσβασης. Αν κάποιος αποκτούσε πρόσβαση σε αυτή τη βάση δεδομένων, θα μπορούσε “να έχει μια εικόνα” για τις δραστηριότητες ενός χρήστη (ή όλης του της οικογένειας) στο διαδίκτυο, σε πραγματικό χρόνο.
Ο Paine ειδοποίησε την AIS για την ανοιχτή βάση δεδομένων στις 13 Μαΐου. Ωστόσο, δεν έλαβε κάποια απάντηση από την εταιρεία, κι έτσι, μετά από μια εβδομάδα, ειδοποίησε την Εθνική Ομάδα Αντιμετώπισης Έκτακτων Αναγκών της Ταϊλάνδης, γνωστή ως ThaiCERT, η οποία επικοινώνησε με την AIS.
Λίγο μετά, η βάση δεδομένων δεν ήταν πλέον προσβάσιμη.
Ο εκπρόσωπος της AIS, Sudaporn Watcharanisakorn, επιβεβαίωσε τη διαρροή της βάσης δεδομένων και είπε ότι ανήκε στην εταιρεία, ενώ ζήτησε συγγνώμη για το κενό ασφαλείας.
“Μπορούμε να επιβεβαιώσουμε ότι ένας μικρός αριθμός μη προσωπικών, μη κρίσιμων πληροφοριών εκτέθηκε για περιορισμένο χρονικό διάστημα στο διαδίκτυο, τον Μάιο, κατά τη διάρκεια μιας προγραμματισμένης δοκιμής”, δήλωσε ο εκπρόσωπος της AIS.
“Όλα τα δεδομένα σχετίζονταν με τα πρότυπα χρήσης του Διαδικτύου και δεν περιείχαν προσωπικά στοιχεία που θα μπορούσαν να χρησιμοποιηθούν για την αναγνώριση οποιουδήποτε πελάτη”, είπε ακόμα. “Ζητάμε συγγνώμη”.
Ωστόσο, ανεξάρτητα από τη δήλωση του εκπροσώπου, κάποια από τα δεδομένα που διέρρευσαν, δίνουν κάποιες πληροφορίες για τους χρήστες. Τα DNS queries είναι απόρροια της χρήσης του Διαδικτύου. Κάθε φορά που επισκέπτεστε ένα site, ο browser μετατρέπει μια web διεύθυνση σε μια IP διεύθυνση, η οποία ενημερώνει τον browser για το “πού ζει” η ιστοσελίδα στο Διαδίκτυο. Αν και τα DNS queries δεν μεταφέρουν ιδιωτικά μηνύματα, μηνύματα ηλεκτρονικού ταχυδρομείου ή ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης, μπορούν να προσδιορίσουν σε ποια sites έχετε πρόσβαση και ποιες εφαρμογές χρησιμοποιείτε.
Αυτό θα μπορούσε να είναι ένα μεγάλο πρόβλημα για “άτομα υψηλού κινδύνου”, όπως δημοσιογράφοι και ακτιβιστές, των οποίων τα Internet records θα μπορούσαν να χρησιμοποιηθούν για τον προσδιορισμό των πηγών τους.
Τα DNS queries μπορούν να χρησιμοποιηθούν για την απόκτηση πληροφοριών σχετικά με τη διαδικτυακή δραστηριότητα των χρηστών.
Ο ερευνητής Paine έδειξε πως όποιος είχε πρόσβαση στη βάση δεδομένων, μπορούσε να μάθει πολλά πράγματα για ένα σπίτι με σύνδεση στο Διαδίκτυο, όπως το είδος των συσκευών, τα προγράμματα προστασίας από ιούς και τους browsers που χρησιμοποιούν οι χρήστες, καθώς και τα sites που επισκέπτονται και τα social media apps που έχουν.
Ωστόσο, στα νοικοκυριά ή στα γραφεία, πολλοί άνθρωποι μοιράζονται μια σύνδεση στο Διαδίκτυο, επομένως είναι δύσκολη η συσχέτιση της διαδικτυακής δραστηριότητας με ένα συγκεκριμένο άτομο.
Τέλος, οι εταιρείες βρίσκουν χρήσιμα τα DNS δεδομένα για την προβολή στοχευμένων διαφημίσεων.