Рэгістратар APNIC, які адказвае за размеркаванне IP-адрасоў у Азіяцка-Ціхаакіянскім рэгіёне, паведаміў аб інцыдэнце, у выніку якога ў адчынены доступ патрапіў SQL-дамп сэрвісу Whois, улучальны канфідэнцыйныя дадзеныя і хэшы пароляў. Характэрна, што гэта не першая ўцечка персанальных дадзеных у APNIC – у 2017 годзе база Whois ужо трапляла ў адкрыты доступ і таксама па недаглядзе персанала.
Падчас укаранення падтрымкі пратаколу RDAP, закліканага замяніць пратакол WHOIS, супрацоўнікі APNIC размясцілі SQL-дамп базы, выкарыстоўванай у сэрвісе Whois, у хмарным сховішчы Google Cloud, але не абмежавалі да яго доступ. З-за памылкі ў наладах на працягу трох месяцаў SQL-дамп быў даступны публічна і дадзены факт выявіўся толькі 4 чэрвеня, калі адзін з незалежных даследнікаў бяспекі звярнуў на гэтую ўвагу і апавясціў рэгістратара аб праблеме.
У SQL-дампе прысутнічалі атрыбуты "auth", утрымоўвальныя хэшы пароляў для змены аб'ектаў Maintainer і Incident Response Team (IRT), а таксама некаторыя канфідэнцыйныя звесткі аб кліентах, якія не выводзяцца ў Whois пры звычайных запытах (як правіла гэта дадатковыя кантактныя дадзеныя і нататкі аб карыстальніку). У выпадку аднаўлення пароляў, атакавалыя мелі магчымасць змяніць змесціва палёў з параметрамі ўладальнікаў блокаў IP-адрасоў у Whois. Аб'ект Maintainer вызначае асобу, адказную за змяненне групы запісаў, звязаных праз атрыбут «mnt-by», а аб'ект IRT змяшчае кантактныя дадзеныя адміністратараў, якія адказваюць на апавяшчэнні аб праблемах. Інфармацыя аб ужывальным алгартытме хэшавання пароляў не прыводзіцца, але ў 2017 годзе для хэшавання выкарыстоўваліся састарэлыя алгарытмы MD5 і CRYPT-PW (8-знакавыя паролі c хэшамі на базе функцыі UNIX crypt).
Пасля выяўлення інцыдэнту APNIC ініцыяваў скід пароляў для аб'ектаў у Whois. На баку APNIC прыкмет нелегітымных дзеянняў пакуль не выяўлена, але гарантый, што дадзеныя не патрапілі ў рукі зламыснікаў няма, бо адсутнічаюць поўныя логі доступу да файлаў у Google Cloud. Як і пасля мінулага інцыдэнту, APNIC паабяцаў правесці рэвізію і занесці змены ў тэхналагічныя працэсы, каб не дапусціць падобныя ўцечкі ў будучыні.
Крыніца: opennet.ru