La empresa de telecomunicaciones más grande de Tailandia, Ais, ha desconectado una increíble base de datos que estaba exponiendo miles de millones de registros de usuarios de Internet en tiempo real. Los datos de estos usuarios han sido expuestos y se cuentan por miles de millones.
En su blog, el investigador de seguridad Justin Paine ha publicado un informe que asegura que encontró dicha base de datos y que descubrió en la misma la existencia de consultas DNS así como datos de Netflow, todo sin contraseña. Paine dijo que con este acceso, cualquier persona podría hacerse una "imagen" en la cabeza sobre lo que hace un usuario de Internet en tiempo real.
Como es lógico, Paine alertó a AIS sobre esta base de datos el 13 de mayo, y después de no recibir respuesta durante una semana, Paine informó sobre este problema al equipo nacional de respuesta a emergencias informáticas de Tailandia.
Miles de millones de datos expuestos
AIS.
Poco tiempo después, la base de datos quedó clausurada. El portavoz de AIS, Sudaporn Watcharanisakorn, se disculó con los propietarios y confirmó a su vez que estos datos eran propiedad de la empresa de telecomunicaciones. Sudaporn aseguró que esta era "una pequeña cantidad de información no personal y no crítica" expuesta por un "período limitado en mayo durante una prueba programada".
El portavoz se ha apresurado a decir que estos datos relacionados con patrones de uso en Internet "no contenían información personal que pudiera usarse para identificar a ningún cliente. En esta ocasión, reconocemos que nuestros procedimientos se quedaron cortos, por lo cual nos disculpamos sinceramente. Algo que, desgraciadamente, no es cierto.
Sí contiene información personal
Las consultas DNS son algo normal a la hora de realizar un uso de Internet. Cada vez que se visita una web, el navegador convierte una dirección web en IP, que le dice al navegador dónde reside la página. Estas consultas en algunas ocasiones no contienen datos privados en muchas ocasiones, pero sí pueden servir para identificar el historial de sitios y apps que un usuario usa.
Esto puede ser un problema serio para algunos tipos de usuarios específicos, como los periodistas, cuyos registros de Internet podrían servir para identificar sus fuentes. Por si fuera poco, las leyes de control de Internet tailandesas otorgan a las autoridades acceso amplio a los datos de los usuarios de Internet. Tailandia tiene algunas de las leyes de censura en Internet más duras de Asia.
De hecho, el mismo Paine demuestra cómo cualquier persona con acceso a esta base de datos podía deducir varias cosas, como el tipo de dispositivo que usan los usuarios de esa base de datos, qué antivirus usan, qué navegadores o qué redes sociales tienen ligadas a ellos mismos.