No sé qué me preocupa y, en realidad, me resulta más molesto de la actitud de AIS, si su problema de seguridad, la parsimonia en su actuación o el modo en el que la compañía ha restado importancia al incidente. Lo que sí que tengo claro es que, en su conjunto, me parece uno de los casos más vergonzosos que he visto en mucho, mucho tiempo. Pero bueno, empecemos por el principio.
Hace unas semanas, el 7 de mayo, el investigador de seguridad Justin Paine encontró una base de datos de AIS, el mayor proveedor de servicios de conectividad móvil de Tailandia, que no contaba con ningún tipo de protección. Ni siquiera una simple contraseña. Al acceder a la misma pudo comprobar que se trataba de un registro de las peticiones recibidas por los servidores DNS de la compañía.
Tras realizar algunas pruebas más, y cuantificar el volumen de información en ocho mil millones de registros, se puso en contacto por primera vez con AIS el 13 de mayo para informarles sobre el problema. Cualquier empresa que respetara un mínimo la privacidad de sus clientes habría actuado de inmediato, ¿verdad? Al final, ante un problema de este tipo, siempre es una suerte que sea un investigador y no un ciberdelincuente quien lo descubra y tome las medidas pertinentes.
Pues en realidad no es hasta el 21 de mayo que hay una novedad en este caso: ¿una respuesta por parte de AIS? Me temo que no. En realidad hasta esta fecha Paine intentó contactar varias veces con los responsables de la empresa. Siempre de manera infructuosa. El siguiente paso lógico era, claro, contactar con las autoridades públicas de Tailandia, más concretamente con ThaiCERT, el servicio nacional de respuesta de emergencia frente a amenazas tecnológicas.
Afortunadamente, en este caso sí que se produjo una reacción por parte de AIS ,ya que al día siguiente de esta comunicación con las autoridades tailandesas, la base de datos ya no era públicamente accesible. Quince días habían pasado desde que Paine detectó el problema, y diez desde que informó del problema de seguridad a los responsables. Solo la intervención de ThaiCERT, por lo que se deduce, fue efectiva para que la empresa tomara medidas.
Habiendo sido informado de la historia, TechCrunch contactó varias veces con AIS para intentar obtener una declaración pública. Otra vía muerta… hasta que se publicó una noticia informando sobre lo sucedido. En ese momento sí que les fue posible obtener unas declaraciones por parte de la empresa. Las reproduzco a continuación porque no tienen desperdicio…
«We can confirm that a small amount of non-personal, non-critical information was exposed for a limited period in May during a scheduled test. All of the data related to Internet usage patterns and did not contain personal information that could be used to identify any customer,” said the spokesperson. On this occasion we acknowledge that our procedures fell short, for which we sincerely apologise.”
Podemos empezar por eso de que la información se vió expuesta por limitado periodo de tiempo. No, quedó expuesta de manera permanente hasta que, cansado de que sus intentos de contacto con AIS no tuvieran ningún fruto, el investigador se vio obligado a contactar con ThaiCERT. De no haber detectado el problema o, pese a haberlo encontrado no haber informado a la empresa y las autoridades, lo más probable es que los datos siguieran ahí, sin proteger, a disposición de cualquier usuario de la red.
También me hace gracia eso de «una pequeña cantidad de datos». De acuerdo, todos imaginamos el volumen de peticiones que puede llegar a soportar un servidor DNS, y acepto que los números totales sean muy superiores. Pero, lo siento, calificar ocho mil millones de registros como «una pequeña cantidad» me parece una tomadura de pelo y, de nuevo, una falta de respeto a los clientes de la compañía. ¿Qué volumen debe tener una filtración para que AIS no la considere «pequeña»?
Y lo que más me molesta, porque me parece una tomadura de pelo, es que se califique rápidamente la información como no personal. De acuerdo, en los registros no se muestran nombres, teléfonos, direcciones de email, etcétera. Pero sí que se muestran direcciones IP asociadas a cada consulta, ¿y qué nos cuenta el registro de un servidor DNS? Todo el historial de navegación, en detalle, de una dirección IP. Dicho de otra manera, solo es necesario identificar al usuario asociado a dicha IP (y hay maneras de hacerlo) para tener su historial completo de uso de Internet.
O, se me ocurre otra posibilidad. Partimos de la base de saber que una persona se conecta siempre, diariamente y a una hora determinada, a un servicio o web en concreto. Filtrando entre los datos filtrados (perdón por la redundancia) de AIS, sería posible detectar desde que IP se han realizado dichas conexiones. Y, a partir de ahí, con el usuario identificado y asociado a su IP, bastaría con buscar el resto de consultas realizadas para saber qué pasos concretos ha dado una persona, ya identificada, a través de Internet.
Entiendo que en estas circunstancias, la tendencia natural de las empresas es a minimizar la valoración de los daños. lo que no me entra en la cabeza es que se mienta o se tergiverse la realidad de este modo. No cuando lo que está en juego es la seguridad y la privacidad de los usuarios. Sí, definitivamente eso es lo que más me indigna de casos como este.
Imagen: Daniel Lobo
La entrada AIS, o el peligro de la información de los servidores DNS es original de MuySeguridad. Seguridad informática.