update: แถลงจาก AIS
นักวิจัยพบล็อก DNS และ Netflow ของ AIS หลุดออกสู่อินเทอร์เน็ต พบ dashboard เจาะจงตรวจสอบการใช้เฟซบุ๊ก
Justin Paine นักวิจัยด้านความปลอดภัยไซเบอร์รายงานการพบฐานข้อมูล Elasticsearch และหน้าจอ dashboard Kibana ที่มีฐานข้อมูลการใช้งาน DNS และข้อมูลทราฟิกอินเทอร์เน็ตแบบ Netflow รวม 8,300 ล้านรายการ
Paine ตรวจพบฐานข้อมูลนี้จากเว็บค้นหา BinaryEdge และ Shodan โดย BinaryEdge พบว่าฐานข้อมูลเข้าถึงจากอินเทอร์เน็ตได้ตั้งแต่วันที่ 1 พฤษภาคมที่ผ่านมา ส่วนตัวเขาเองเข้าไปพบฐานข้อมูลนี้ในวันที่ 7 โดยฐานข้อมูลมีปริมาณเอกสาร 8,300 ล้านรายการ ขนาด 4.7TB และมีข้อมูลเพิ่มเข้ามาวันละ 200 ล้านรายการ โดยได้มีการแจ้งทาง AIS และ ThaiCERT ไปจนทาง AIS ดำเนินการปิดการเข้าถึงไปแล้วเมื่อวันที่ 22 พฤษภาคมที่ผ่านมา
ฐานข้อมูลเก็บทราฟิกอินเทอร์เน็ต ระบุการเชื่อมต่อว่าหมายเลข IP ใดเชื่อมต่อไปที่ใดบ้าง และมีข้อมูลการเรียกใช้งาน DNS ว่ามีการขอ lookup ไปยังชื่อโดเมนอะไรอีกบ้าง โดยส่วนข้อมูลการใช้งาน DNS มีข้อมูลประมาณ 8 วัน (30 เมษายน ถึง 7 พฤษภาคม) รวมจำนวนการเรียกใช้ทั้งสิ้นสามพันล้านครั้ง ซึ่งจากเฉพาะข้อมูลการใช้งาน DNS นี้สามารถนำมาวิเคราะห์ได้ถึงจำนวน ยี่ห้ออุปกรณ์ รวมถึงซอฟต์แวร์และรูปแบบการใช้ชีวิตประจำวันของเจ้าของ IP นั้นๆ และเมื่อรวมกับข้อมูล Netflow แล้ว สามารถทำให้เห็นปริมาณการใช้งานได้อย่างละเอียด
ทางนักวิจัยยังพบอีกว่า ในระบบยังมีการทำหน้าดูข้อมูลการใช้งาน Facebook ไว้อย่างเฉพาะ อย่างไรก็ตาม จากที่ผู้เขียนตรวจสอบเพิ่มเติมพบว่าข้อมูลดังกล่าวเป็นข้อมูลหลังจากผ่านการ NAT มาแล้ว ทำให้มีหลาย IP ที่มีการใช้งานสูงๆ ที่น่าจะเป็น NAT Pool ใหญ่ๆ จากผู้ใช้งานหลายคน ทำให้อาจลดความจำเพาะเจาะจงของข้อมูลลงไปได้ "บ้าง"
การปล่อยให้ข้อมูลในฐานข้อมูล Elasticsearch และ Kibana รั่วไม่ใช่เรื่องใหม่ เนื่องจากค่าเริ่มต้นของซอฟต์แวร์ดังกล่าวไม่มีการป้องกันการเข้าถึงข้อมูลใดๆ แม้แต่ Microsoft ก็เคยพลาดมาแล้วเช่นกัน
ที่มา: rainbowtabl.es
หมายเหตุ: Blognone สอบถามไปยัง AIS แล้ว และได้รับคำตอบว่ากำลังอยู่ระหว่างการตรวจสอบ