Регистраторът APNIC, отговорен за разпространението на IP адреси в Азиатско-тихоокеанския регион, съобщи за инцидент, в резултат на който SQL дъмп на услугата Whois, включително поверителни данни и хешове на пароли, стана публично достъпен. Прави впечатление, че това не е първото изтичане на лични данни в APNIC - през 2017 г. базата данни Whois вече беше публично достъпна, също поради недоглеждане на персонала.
В процеса на въвеждане на поддръжка за протокола RDAP, предназначен да замени протокола WHOIS, служителите на APNIC поставиха SQL дъмп на базата данни, използвана в услугата Whois, в облачното хранилище на Google Cloud, но не ограничиха достъпа до него. Поради грешка в настройките, SQL дъмпът беше публично достъпен в продължение на три месеца и този факт беше разкрит едва на 4 юни, когато един от независимите изследователи по сигурността забеляза това и уведоми регистратора за проблема.
SQL дъмпът съдържа атрибути „auth“, съдържащи хешове на пароли за промяна на обекти на поддържащия и екипа за реагиране при инциденти (IRT), както и част от чувствителната информация за клиента, която не се показва в Whois по време на нормални заявки (обикновено допълнителна информация за контакт и бележки за потребителя) . В случай на възстановяване на парола, нападателите са успели да променят съдържанието на полетата с параметрите на собствениците на блокове с IP адреси в Whois. Обектът Maintainer дефинира лицето, отговорно за модифицирането на група записи, свързани чрез атрибута "mnt-by", а IRT обектът съдържа информация за контакт на администратори, които отговарят на известия за проблеми. Информация за използвания алгоритъм за хеширане на пароли не е предоставена, но през 2017 г. за хеширане са използвани остарели алгоритми MD5 и CRYPT-PW (8-символни пароли с хешове, базирани на криптиращата функция на UNIX).
След като идентифицира инцидента, APNIC инициира нулиране на пароли за обекти в Whois. От страна на APNIC все още не са открити признаци на нелегитимни действия, но няма гаранции, че данните не са попаднали в ръцете на нападатели, тъй като няма пълни регистрационни файлове за достъп до файлове в Google Cloud. Както и след предишния инцидент, APNIC обеща да извърши одит и да направи промени в технологичните процеси, за да предотврати подобни течове в бъдеще.
Източник: opennet.ru