Thaise telecomprovider lekt database met miljarden dns-verzoeken van klanten
De Thaise telecomprovider Advanced Wireless Network (AWN) heeft via een onbeveiligde database miljarden dns-verzoeken van klanten gelekt, waardoor een uitgebreid beeld van het online gedrag van klanten is af te leiden. Dat meldt beveiligingsonderzoeker Justin Paine, die in het verleden vaker datalekken bij bedrijven ontdekte.
Paine ontdekte de onbeveiligde ElasticSearch-database op 7 mei van dit jaar. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De 4,7 terabyte grote database was voor iedereen op internet zonder wachtwoord toegankelijk en bevatte meer dan 8,3 miljard documenten.
Het ging om een combinatie van NetFlow-data en dns-verzoeken. NetFlow-data is een door Cisco ontwikkelde technologie voor het monitoren en onderzoeken van netwerkverkeer. Daarnaast bevatte de database meer dan 3,3 miljard "dns query logs". Via dns-verzoeken wordt het ip-adres van een website opgevraagd. Aan de hand van dns-verkeer is dan ook te zien welke websites mensen bezoeken en welke apps ze gebruiken. Op deze manier kan er een gedetailleerd profiel van iemands online leven worden verkregen.
Om dit te bewijzen analyseerde Paine de dns-data van één enkel ip-adres. Alleen aan de hand van de dns-gegevens kon hij vaststellen dat dit huishouden over een Androidtoestel, Windowscomputer, Apple-apparaat en Samsung-apparaat beschikte, Google Chrome als standaardbrowser gebruikte en met Microsoft Office werkte. Verder gebruikte dit huishouden ESET als antivirussoftware en was het actief op Facebook, Google, YouTube, TikTok en WeChat.
Na ontdekking van de database besloot Paine om Advanced Info Service (AIS) te waarschuwen, de grootste telecomprovider van Thailand en moederbedrijf van AWN. Aangezien dit niets opleverde informeerde de onderzoeker het Thaise Computer Emergency Response Team (ThaiCERT) dat AIS wel wist te bereiken waarna de database op 22 mei werd beveiligd.
Paine geeft aan dat hij niet wil speculeren waarom AWN de dns-verzoeken van klanten verzamelde. Wel merkt hij op dat het gebruik van DNS over HTTPS (DoH) het verzamelen van dns-verzoeken zoals in dit geval had voorkomen. DoH zorgt er namelijk voor dat dns-verzoeken worden versleuteld, zodat internetproviders de inhoud niet meer kunnen bekijken.
"DoH" had deze mogelijkheid helemaal niet voorkomen, maar slechts verplaatst naar een andere plek, waar veel meer verzoeken binnenkomen en dus veel uitgebreider gedrag te bestuderen zou zijn. Oftewel een veel grotere verleiding. Dus dit is gewoon een stukje domme propaganda, en als deze "onderzoeker" dat niet snapt is hij iemand zijn "bruikbare idioot". Hij had echt beter moeten weten dan zulke domme dingen zeggen.
Maargoed, dit soort dingen zijn ook gewoon erg moeilijk voor technische knutselaars want de problemen zijn niet technisch van aard. Precies waarom "DoH" al vanaf het begin gemankeerd is als mogelijke oplossing.
Merk op dat er maar heel weinig "DoH"-providers zijn dus als er eentje rot blijkt is de schade ook veel groter, betaal je niet zelf voor hun diensten, en zitten ze waarschijnlijk in een ander land dan waar jij zit dus heb je het middel van de rechtsgang ook al niet.
Die discussie hadden we al eerder hier https://www.security.nl/posting/556731/
Doe de test eens hier: https://www.grc.com/dns/dns.htm
Ik zit met DNSSEC wel aardig goed qua spoofability. Eindresultaat excellent.
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.
Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).
#sockpuppet
Die discussie hadden we al eerder hier https://www.security.nl/posting/556731/
Doe de test eens hier: https://www.grc.com/dns/dns.htm
Ik zit met DNSSEC wel aardig goed qua spoofability. Eindresultaat excellent.
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Sommige providers delen deze gegevens met derden of verkopen de gegevens ook nog door.
Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).
#sockpuppet
Ik blijf eigenlijk liever bij Gibson weg maar alla (normaal gebruik ik https://dnsleaktest.com/.
Excellent na 1175 queries en dat over mijn VPN ... ;-)
Of je gebruikt een VPN (ik voel een discussie aankomen)
Je legt een virtuele pijp van jouw computertje (of je routertje) naar die VPN-provider. Daar stuur je al je verkeer overheen en "de andere kant" stuurt dat dan weer door zodat jouw verkeer vanaf hun netwerk lijkt te komen.
Dat vond de ISP niet zo leuk want ze kunnen dan niet meer hun verkeersvolume drukken door wat transparent caching proxies neer te kwakken. Vond want dat kon toch al minder goed tot nauwlijks meer want alles en iedereen is aan de "meer https is meer beter", wat maar beperkt waar is, maar toch. Ook die beweging is een directe tegenreactie (van webshits) op zich misdragende ISPs (veelal Amerikaanse telcos, die de "we don't care. we don't have to. we're the phone company!"-satire met graagte in de praktijk brengen), en ook daar is de correcte oplossing van ISP wisselen, en niet gaan rommelen met technische truuks. Maar dit terzijde.
Het gevolg is dat al je verkeer inclusief DNS-aanvragen eerst naar je VPN-aanbieder gaan, dus die krijgt juist weer meer inzicht in jouw verkeersstromen. Dus alweer, je hebt alleen maar het probleem verplaatst en verergerd bovendien. De vraag is hetzelfde: Kan je die provider wel met al die data vertrouwen? En dan, hoeveel betaal je ze om de data niet te misbruiken of door te verkopen? In welk land zitten ze? En zo voort, en zo verder.
Oh, en nu ik toch zit te oreren: "VPN" staat voor "virtual private network", origineel een versleutelde pijp van een enkel machientje naar een bedrijfsnetwerk of een versleutelde pijp tussen twee bedrijfsnetwerkjes ofzo. Een versleutelde pijp waarna "de andere kant" al je verkeer op het open internet kwakt is dus eigenlijk iets anders en zou dus ook gewoon anders moeten heten.
Je DNS verzoeken moet je provider opslaan voor als deze gegevens eventueel opgevraagd worden.
Nee hoor, dat moeten ze niet.
Jouw data is namelijk het nieuwe goud, zeker als men het gratis kan weg-siphoneren (jij bent hun product).
Dat kan wel zo zijn, al mag het niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.