Asiya-Sakit Okean regionunda IP ünvanlarının paylanmasına cavabdeh olan APNIC registratoru, məxfi məlumatlar və parol heşləri də daxil olmaqla Whois xidmətinin SQL tullantısının ictimaiyyətə açıqlanması nəticəsində baş verən insident barədə məlumat verdi. Maraqlıdır ki, bu, APNIC-də şəxsi məlumatların ilk sızması deyil - 2017-ci ildə Whois verilənlər bazası, həmçinin işçilərin nəzarəti səbəbindən artıq ictimaiyyətə təqdim edildi.
WHOIS protokolunu əvəz etmək üçün nəzərdə tutulmuş RDAP protokoluna dəstəyin tətbiqi prosesində APNIC əməkdaşları Whois xidmətində istifadə olunan verilənlər bazasının SQL zibilini Google Bulud bulud yaddaşına yerləşdirdilər, lakin ona girişi məhdudlaşdırmadılar. Parametrlərdəki səhvə görə, SQL dump üç ay ərzində ictimaiyyətə açıq idi və bu fakt yalnız iyunun 4-də, müstəqil təhlükəsizlik tədqiqatçılarından biri bunu fərq etdikdə və problem barədə registratoru xəbərdar etdikdə üzə çıxdı.
SQL tullantısında Maintainer və Insident Response Team (IRT) obyektlərinin dəyişdirilməsi üçün parol hashlarını, həmçinin normal sorğular zamanı Whois-də göstərilməyən bəzi həssas müştəri məlumatlarını (adətən əlavə əlaqə məlumatı və istifadəçi haqqında qeydlər) ehtiva edən "auth" atributları var idi. . Parolun bərpası vəziyyətində təcavüzkarlar Whois-də IP ünvan bloklarının sahiblərinin parametrləri ilə sahələrin məzmununu dəyişdirə bildilər. Maintainer obyekti "mnt-by" atributu vasitəsilə əlaqələndirilmiş qeydlər qrupunun dəyişdirilməsi üçün məsul şəxsi müəyyənləşdirir və IRT obyekti problem bildirişlərinə cavab verən idarəçilər üçün əlaqə məlumatlarını ehtiva edir. İstifadə olunan parolun heşinq alqoritmi haqqında məlumat verilmir, lakin 2017-ci ildə köhnəlmiş MD5 və CRYPT-PW alqoritmlərindən (UNIX kript funksiyasına əsaslanan heşləri olan 8 simvoldan ibarət parollar) heşinq üçün istifadə edilib.
Hadisəni müəyyən etdikdən sonra APNIC Whois-dəki obyektlər üçün parolların sıfırlanmasına başladı. APNIC tərəfində hələ də qeyri-qanuni hərəkətlərin əlamətləri aşkar edilməyib, lakin məlumatların təcavüzkarların əlinə keçməməsinə zəmanət yoxdur, çünki Google Cloud-da fayllara girişin tam qeydləri yoxdur. Əvvəlki insidentdən sonra olduğu kimi, APNIC gələcəkdə də oxşar sızmaların qarşısını almaq üçün audit aparacağını və texnoloji proseslərə dəyişikliklər edəcəyini vəd edib.
Mənbə: opennet.ru