image

Thaise telecomprovider lekt database met miljarden dns-verzoeken van klanten

maandag 25 mei 2020, 11:01 door Redactie, 6 reacties

De Thaise telecomprovider Advanced Wireless Network (AWN) heeft via een onbeveiligde database miljarden dns-verzoeken van klanten gelekt, waardoor een uitgebreid beeld van het online gedrag van klanten is af te leiden. Dat meldt beveiligingsonderzoeker Justin Paine, die in het verleden vaker datalekken bij bedrijven ontdekte.

Paine ontdekte de onbeveiligde ElasticSearch-database op 7 mei van dit jaar. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De 4,7 terabyte grote database was voor iedereen op internet zonder wachtwoord toegankelijk en bevatte meer dan 8,3 miljard documenten.

Het ging om een combinatie van NetFlow-data en dns-verzoeken. NetFlow-data is een door Cisco ontwikkelde technologie voor het monitoren en onderzoeken van netwerkverkeer. Daarnaast bevatte de database meer dan 3,3 miljard "dns query logs". Via dns-verzoeken wordt het ip-adres van een website opgevraagd. Aan de hand van dns-verkeer is dan ook te zien welke websites mensen bezoeken en welke apps ze gebruiken. Op deze manier kan er een gedetailleerd profiel van iemands online leven worden verkregen.

Om dit te bewijzen analyseerde Paine de dns-data van één enkel ip-adres. Alleen aan de hand van de dns-gegevens kon hij vaststellen dat dit huishouden over een Androidtoestel, Windowscomputer, Apple-apparaat en Samsung-apparaat beschikte, Google Chrome als standaardbrowser gebruikte en met Microsoft Office werkte. Verder gebruikte dit huishouden ESET als antivirussoftware en was het actief op Facebook, Google, YouTube, TikTok en WeChat.

Na ontdekking van de database besloot Paine om Advanced Info Service (AIS) te waarschuwen, de grootste telecomprovider van Thailand en moederbedrijf van AWN. Aangezien dit niets opleverde informeerde de onderzoeker het Thaise Computer Emergency Response Team (ThaiCERT) dat AIS wel wist te bereiken waarna de database op 22 mei werd beveiligd.

Paine geeft aan dat hij niet wil speculeren waarom AWN de dns-verzoeken van klanten verzamelde. Wel merkt hij op dat het gebruik van DNS over HTTPS (DoH) het verzamelen van dns-verzoeken zoals in dit geval had voorkomen. DoH zorgt er namelijk voor dat dns-verzoeken worden versleuteld, zodat internetproviders de inhoud niet meer kunnen bekijken.

Reacties (6)
25-05-2020, 11:26 door Anoniem
Ik denk dat de provider wat uit te leggen heeft. Iedereen zijn DNS-verzoeken gewoon maar opslaan is niet zoals we normaliter met elkaar omgaan. De beste remedie die we hiertegen hebben is van provider wisselen. (Zelf een resolver draaien is de een-na-beste want dat maakt het een beetje lastiger voor de provider, maar niet heel veel.)

"DoH" had deze mogelijkheid helemaal niet voorkomen, maar slechts verplaatst naar een andere plek, waar veel meer verzoeken binnenkomen en dus veel uitgebreider gedrag te bestuderen zou zijn. Oftewel een veel grotere verleiding. Dus dit is gewoon een stukje domme propaganda, en als deze "onderzoeker" dat niet snapt is hij iemand zijn "bruikbare idioot". Hij had echt beter moeten weten dan zulke domme dingen zeggen.

Maargoed, dit soort dingen zijn ook gewoon erg moeilijk voor technische knutselaars want de problemen zijn niet technisch van aard. Precies waarom "DoH" al vanaf het begin gemankeerd is als mogelijke oplossing.

Merk op dat er maar heel weinig "DoH"-providers zijn dus als er eentje rot blijkt is de schade ook veel groter, betaal je niet zelf voor hun diensten, en zitten ze waarschijnlijk in een ander land dan waar jij zit dus heb je het middel van de rechtsgang ook al niet.
25-05-2020, 12:53 door Anoniem
@11:26

Of je gebruikt een VPN (ik voel een discussie aankomen)
25-05-2020, 13:33 door Anoniem
@ anoniem van 12:53,

Die discussie hadden we al eerder hier https://www.security.nl/posting/556731/
Doe de test eens hier: https://www.grc.com/dns/dns.htm
Ik zit met DNSSEC wel aardig goed qua spoofability. Eindresultaat excellent.

Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.

Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).

#sockpuppet
25-05-2020, 14:42 door Anoniem
Door Anoniem: @ anoniem van 12:53,

Die discussie hadden we al eerder hier https://www.security.nl/posting/556731/
Doe de test eens hier: https://www.grc.com/dns/dns.htm
Ik zit met DNSSEC wel aardig goed qua spoofability. Eindresultaat excellent.

Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.

Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).

#sockpuppet

Ik blijf eigenlijk liever bij Gibson weg maar alla (normaal gebruik ik https://dnsleaktest.com/.

Excellent na 1175 queries en dat over mijn VPN ... ;-)
25-05-2020, 16:03 door Anoniem
Door Anoniem: @11:26

Of je gebruikt een VPN (ik voel een discussie aankomen)
Je had ook zelf even een tekeningetje kunnen maken van waar we het over hebben en over je voorstel. Dat is hier wat lastig dus ik beschrijf het maar even in woorden.

Je legt een virtuele pijp van jouw computertje (of je routertje) naar die VPN-provider. Daar stuur je al je verkeer overheen en "de andere kant" stuurt dat dan weer door zodat jouw verkeer vanaf hun netwerk lijkt te komen.

Dat vond de ISP niet zo leuk want ze kunnen dan niet meer hun verkeersvolume drukken door wat transparent caching proxies neer te kwakken. Vond want dat kon toch al minder goed tot nauwlijks meer want alles en iedereen is aan de "meer https is meer beter", wat maar beperkt waar is, maar toch. Ook die beweging is een directe tegenreactie (van webshits) op zich misdragende ISPs (veelal Amerikaanse telcos, die de "we don't care. we don't have to. we're the phone company!"-satire met graagte in de praktijk brengen), en ook daar is de correcte oplossing van ISP wisselen, en niet gaan rommelen met technische truuks. Maar dit terzijde.

Het gevolg is dat al je verkeer inclusief DNS-aanvragen eerst naar je VPN-aanbieder gaan, dus die krijgt juist weer meer inzicht in jouw verkeersstromen. Dus alweer, je hebt alleen maar het probleem verplaatst en verergerd bovendien. De vraag is hetzelfde: Kan je die provider wel met al die data vertrouwen? En dan, hoeveel betaal je ze om de data niet te misbruiken of door te verkopen? In welk land zitten ze? En zo voort, en zo verder.

Oh, en nu ik toch zit te oreren: "VPN" staat voor "virtual private network", origineel een versleutelde pijp van een enkel machientje naar een bedrijfsnetwerk of een versleutelde pijp tussen twee bedrijfsnetwerkjes ofzo. Een versleutelde pijp waarna "de andere kant" al je verkeer op het open internet kwakt is dus eigenlijk iets anders en zou dus ook gewoon anders moeten heten.
25-05-2020, 18:40 door Anoniem
Door Anoniem:
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.

Nee hoor, dat moeten ze niet.

Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.

Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).

Dat kan wel zo zijn, al mag het niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.