Thaise telco laat 3,3 miljard dns-queries via ElasticSearch-database uitlekken

Een beveiligingsonderzoeker heeft een open ElasticSearch-database gevonden met daarin browsegegevens van miljoenen Thaise telecomklanten. De database bevatte 3,3 miljard dns-queries en 5 miljard rijen aan NetFlow-data.

Beveiligingsonderzoeker Justin Paine, die het lek ontdekte, zegt dat de database gegevens bevat van Advanced Info Service, de grootste telecomprovider van Thailand. De onderzoeker ontdekte via zoekmachines Shodan en BinaryEdge een ElasticSearch-database waar geen wachtwoord op zat. De database was verdeeld over drie verschillende ElasticSearch-servers.

In totaal vond Paine 8,3 miljard records in de database. Die bestond uit 3,3 miljard dns-queries, en 5 miljard rijen aan NetFlow-data. NetFlow is een netwerkprotocol van Cisco waarmee ip-data kan worden verzameld. Een week nadat de database online werd gezet, stopten de beheerders met het loggen van de dns-queries. De ontdekker zegt dat niet duidelijk is waarom. De NetFlow-data bleef wel constant loggen.

Paine kon niet alleen zien welke websites iemand bezocht, maar ook welke apparaten zij op hun netwerk gebruikten en in sommige gevallen zaken zoals welke software iemand op zijn apparaat had staan. Dat laatste was mogelijk doordat van gebruikers bijvoorbeeld queries werden gedaan naar templateservice.office.com of naar play.googleapis.com.

Volgens de onderzoeker verscheen de ElasticSearch-server op 1 mei van dit jaar op internet. Hij trof die daar op 6 mei aan. Nadat Paine de database ontdekte, lichtte hij op 13 mei de provider in, maar die reageerde daar niet op. Daarop deed Paine een melding bij Thailands Cyber Security Centrum ThaiCERT. Dat nam contact op met de provider, waarna de database offline is gehaald.