最近,有研究人员发现,泰国移动网络运营商Advanced Info Service(AIS)控制的子公司,泄漏了大约83亿条用户的互联网记录。该研究人员多次联系AIS未果,后又找到能与AIS联系的泰国国家CERT团队(ThaiCERT),成功确保了数据库的安全。与此同时,他也给普通用户提供了一些保护个人隐私的建议。
一次令人毛骨悚然的信息泄漏
研究人员发现,这个数据库在2020年5月1日首次被公开,并可以公开访问。大约6天后,这名研究人员发现了这个数据库。
在漏后的大约3周时间里,数据库的数据量显著增长,每24小时就会添加2亿行新数据。截至2020年5月21日,数据库中存储了8,336,189,132个文档,这些数据是NetFlow数据和DNS查询日志的组合。数据量大得有点惊人,这意味着许多人的网络隐私被毫无保护地暴露到了公共场合。
DNS即域名系统,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。简单来说,每一个网站都有一个独立IP,但是IP记起来太复杂,所以就有了DNS,我们只需要输入网址,DNS就会自动查找相应的IP地址。查询DNS记录,就能看到每个IP访问的地址,将相关的IP信息汇总起来,就能轻易建立起一个人的用户画像。
此外,数据库还包含NetFlow数据,NetFlow是思科公司开发的一种网络协议,用于收集IP流量信息和监控网络流量。通过对流量数据的分析,可以建立起网络流量的画像。
通过单个IP地址的NetFlow记录,别人可以轻易查看到这个IP访问各类网页和应用程序的流量,从而得知你最常访问的网页和应用,比如抖音、微信。然后再通过这个IP的DNS查询记录,还能知道这个IP对应的个人/家庭的一些详细信息。
研究人员根据DNS查询,就确定了其中某个IP对应个人/家庭的详细信息: 也就是说,这些数据暴露之后,用户的隐私就荡然无存了。你在互联网上的一举一动,乃至家里联网的设备,使用的软件,全都被晒到了公共空间。而且,如此详尽的信息,一旦遭到恶意使用,其后果是难以想象的。 好在研究者已经与泰国国家CERT团队取得了联系,目前这些数据库已经脱机,AIS和它的子公司接下来应该会加强对数据库信息的保护,以免再次发生这样毛骨悚然的事情。对于掌握了大量用户数据的运营商来说,数据安全绝对是最不能忽视的环节。 普通人怎样尽最大可能保护自己事实上,这种数据泄漏事件并非孤例。有的甚至还更为严重,比如印度就曾发生过Aadhaar数据库泄漏的事件,这是印度ZF启动的一个生物识别项目,记录了印度全国95%人口的姓名、地址、手机号,以及指纹、相片、虹膜扫描等敏感信息。由于印度的相关部门技术实力有限,很快这些数据就被泄漏,被黑客以500卢比(大概50元人民币)的价格在匿名社交软件出售。由于记录的生物信息是无法更改的,这次泄漏的后果就要严重得多。
所以,为了保护自己的隐私,普通人也需要自己多留心,尽可能地多做一些措施,避免自己的信息裸奔在太阳底下。针对这次运营商的信息泄漏,这位研究人员也给了一些建议。 ISP(网络服务提供商)是不会隐藏NetFlow或是sFlow数据的,只要你使用在他们的网络当中,他们就能追踪到你的位置。但是,我们仍然可以对DNS查询记录做一些措施,以保护通信过程的安全,以使ISP无法查看到、记录你的DNS查询流量,ISP也将无法靠出售你的DNS流量信息获利。 这位研人员的建议是,开启基于HTTPS的DNS 或是基于TLSDNS,即DoH或DoT。目前已经有消息称Windows 10将在后续版本中支持DoH功能,不过目前是可以在一些常见浏览器上开启这个功能的。DoH或是DoT下会停止收集DNS查询数据,这样就可以保护我们的隐私。 下面简单介绍一下,怎样在常见的几个浏览器上开启DoH功能。 Chrome浏览器: 在地址栏中输入以下内容: chrome://flags/#dns-over-https 找到“Secure DNS lookups”选项,点击“Enabled”就可以开启,开启后浏览器会重启以生效。
微软Edge浏览器: 在地址栏输入以下内容: edge://flags/#dns-over-https 找到“Secure DNS lookups”选项,点击“Enabled”就可以开启,开启后浏览器会重启以生效。 Firefox火狐浏览器: 点击火狐浏览器的右上方的菜单栏,点击“常规”,往下滑找到“网络设置”,在网络设置中就选择“基于HTTPS的DNS”,选择一个提供商就可以了。
隐私保护任重道远如今我们早已离不开互联网,互联网上记录了大量我们的隐私。这就给互联网服务提供者提出了巨大的挑战,一方面他们想要获取尽可能多的用户信息,建立丰富完备的数据库,一方面,当大量数据被保存下来之后,如何保护就成了一道难以逾越的坎。 尽管我们相信大部分互联网公司都坚持向善的价值观,但层出不穷的数据泄漏还是时刻敲打着我们的信任。而且,确实还是存在许多恶意利用个人数据的服务商,在他们的不懈破坏之下,我们的隐私越发岌岌可危。
所以,隐私保护依旧任重而道远。对我们来说,在寄希望于互联网服务商规范自身行为的同时,也需要多了解一些隐私保护的常识,避免自己在不可控的情况下,将隐私暴露在互联网的蛮荒之地。
| 
狗仔卡
离线
提升卡
置顶卡
变色卡
