AIS, o el peligro de la información de los servidores DNS

31
AIS, o el peligro de la información de los servidores DNS

No sé qué me preocupa y, de hecho, me resulta más molesto la actitud de AIS, si su problema de seguridad, la parsimonia en su desempeño o la forma en que la compañía ha minimizado el incidente. Lo que tengo claro es que, en general, me parece uno de los casos más vergonzosos que he visto en mucho, mucho tiempo. Pero bueno, empecemos por el principio.

Hace unas semanas, el 7 de mayo, investigador de seguridad Justin Paine encontrado una base de datos de AIS, el mayor proveedor de servicios de conectividad móvil en Tailandia, que no tenía ningún tipo de protección. Ni siquiera una simple contraseña. Al acceder a él, pudo verificar que era un registro de las solicitudes recibidas por los servidores DNS de la compañía.

MS recomienda

Aprenda a transmitir videos de manera eficiente Leer
Administre los dispositivos de su empresa de manera inteligente Leer

Después de hacer algunas pruebas más, y cuantificar el volumen de información en ocho mil millones de registros, contactó por primera vez con AIS el 13 de mayo para informar el problema. Cualquier empresa que respetara la privacidad de sus clientes como mínimo habría actuado de inmediato, ¿verdad? Al final, cuando se enfrenta a un problema de este tipo, siempre es una suerte que sea un investigador y no un ciberdelincuente quien lo descubra y tome las medidas apropiadas.

Bueno, no es realmente hasta el 21 de mayo que hay una novedad en este caso: ¿una respuesta de AIS? Me temo que no. De hecho, hasta esta fecha, Paine intentó contactar a los gerentes de la compañía varias veces. Siempre sin éxito. El siguiente paso lógico era, por supuesto, contactar a las autoridades públicas tailandesas., más específicamente con ThaiCERT, el servicio nacional de respuesta a emergencias ante amenazas tecnológicas.

Afortunadamente, en este caso, hubo una reacción de AIS, ya que el día después de esta comunicación con las autoridades tailandesas, la base de datos ya no era accesible al público. Habían pasado quince días desde que Paine detectó el problemay diez desde que informó el problema de seguridad a los responsables. Solo la intervención de ThaiCERT, de lo que podemos deducir, fue efectiva para que la compañía tomara medidas.

Habiendo sido informado de la historia, TechCrunch contactó repetidamente con AIS para tratar de obtener una declaración pública. Otro callejón sin salida … hasta publicó una noticia informando sobre lo sucedido. En ese momento les fue posible obtener algunas declaraciones de la empresa. Los reproduzco a continuación porque no tienen desperdicio …

««Podemos confirmar que un pequeña cantidad de no personal, no crítico la información era expuesto por un período limitado en mayo durante una prueba programada. Todos los datos relacionados con los patrones de uso de Internet y no contenía información personal eso podría usarse para identificar a cualquier cliente “, dijo el portavoz. En esta ocasión, reconocemos que nuestros procedimientos se quedaron cortos, por lo cual nos disculpamos sinceramente.

Podemos comenzar por que la información estuvo expuesta por un período de tiempo limitado. No, fue expuesto permanentemente Hasta que, cansado de sus intentos de contactar a AIS sin tener fruto, el investigador se vio obligado a contactar a ThaiCERT. Si no hubiera detectado el problema o, a pesar de haberlo encontrado, no haber informado a la compañía y a las autoridades, lo más probable es que los datos aún estén allí, sin protección, disponibles para cualquier usuario de la red.

También me gusta “una pequeña cantidad de datos”. De acuerdo, todos imaginamos el volumen de solicitudes que un servidor DNS puede admitir, y acepto que los números totales son mucho más altos. Pero, lo siento, calificar ocho mil millones de registros como “una pequeña cantidad” me parece una broma y, una vez más, falta de respeto a los clientes de la compañía. ¿Qué volumen debe tener una fuga para que AIS no lo considere “pequeño”?

Y Lo que me molesta, porque parece una provocación, es que la información se clasifica rápidamente como no personal. De acuerdo, los registros no muestran nombres, números de teléfono, direcciones de correo electrónico, etc. Pero sí muestran las direcciones IP asociadas con cada consulta, y ¿qué nos dice el registro de un servidor DNS? Todo el historial de navegación, en detalle, de una dirección IP. En otras palabras, solo es necesario identificar al usuario asociado con dicha IP (y hay formas de hacerlo) para tener su historial completo de uso de Internet.

O, se me ocurre otra posibilidad. Partimos del conocimiento de que una persona siempre se conecta, diariamente y en un momento específico, a un servicio o sitio web específico. Filtrar entre los datos filtrados (perdón por la redundancia) de AIS, sería posible detectar desde qué IP se han hecho tales conexiones. Y, a partir de ahí, con el usuario identificado y asociado con su IP, sería suficiente buscar el resto de las consultas realizadas para saber qué pasos específicos ha tomado una persona ya identificada a través de Internet.

Entiendo que en estas circunstancias, la tendencia natural de las empresas es minimizar la valoración de los daños. Lo que no entra en mi mente es que la realidad se miente o se distorsiona de esta manera. No cuando lo que está en juego es la seguridad y la privacidad de los usuarios. Sí, eso es definitivamente lo que más me indigna de casos como este.

Imagen: Daniel Lobo

Dejar respuesta

Please enter your comment!
Please enter your name here