De Thaise telecomprovider Advanced Wireless Network (AWN) heeft via een onbeveiligde database miljarden dns-verzoeken van klanten gelekt, waardoor een uitgebreid beeld van het online gedrag van klanten is af te leiden. Dat meldt beveiligingsonderzoeker Justin Paine, die in het verleden vaker datalekken bij bedrijven ontdekte.
Paine ontdekte de onbeveiligde ElasticSearch-database op 7 mei van dit jaar. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De 4,7 terabyte grote database was voor iedereen op internet zonder wachtwoord toegankelijk en bevatte meer dan 8,3 miljard documenten.
Het ging om een combinatie van NetFlow-data en dns-verzoeken. NetFlow-data is een door Cisco ontwikkelde technologie voor het monitoren en onderzoeken van netwerkverkeer. Daarnaast bevatte de database meer dan 3,3 miljard "dns query logs". Via dns-verzoeken wordt het ip-adres van een website opgevraagd. Aan de hand van dns-verkeer is dan ook te zien welke websites mensen bezoeken en welke apps ze gebruiken. Op deze manier kan er een gedetailleerd profiel van iemands online leven worden verkregen.
Om dit te bewijzen analyseerde Paine de dns-data van één enkel ip-adres. Alleen aan de hand van de dns-gegevens kon hij vaststellen dat dit huishouden over een Androidtoestel, Windowscomputer, Apple-apparaat en Samsung-apparaat beschikte, Google Chrome als standaardbrowser gebruikte en met Microsoft Office werkte. Verder gebruikte dit huishouden ESET als antivirussoftware en was het actief op Facebook, Google, YouTube, TikTok en WeChat.
Na ontdekking van de database besloot Paine om Advanced Info Service (AIS) te waarschuwen, de grootste telecomprovider van Thailand en moederbedrijf van AWN. Aangezien dit niets opleverde informeerde de onderzoeker het Thaise Computer Emergency Response Team (ThaiCERT) dat AIS wel wist te bereiken waarna de database op 22 mei werd beveiligd.
Paine geeft aan dat hij niet wil speculeren waarom AWN de dns-verzoeken van klanten verzamelde. Wel merkt hij op dat het gebruik van DNS over HTTPS (DoH) het verzamelen van dns-verzoeken zoals in dit geval had voorkomen. DoH zorgt er namelijk voor dat dns-verzoeken worden versleuteld, zodat internetproviders de inhoud niet meer kunnen bekijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.