ProHoster > Блог > internet vijesti > Curenje hashova lozinki Whois servisa APNIC Internet registratora

Curenje hashova lozinki Whois servisa APNIC Internet registratora

APNIC registrator, odgovoran za distribuciju IP adresa u azijsko-pacifičkoj regiji, prijavio je incident zbog kojeg je SQL dump Whois servisa, uključujući povjerljive podatke i hešove lozinki, postao javno dostupan. Važno je napomenuti da ovo nije prvo curenje ličnih podataka u APNIC-u – 2017. godine Whois baza podataka je već bila javno dostupna, također zbog nadzora osoblja.

U procesu uvođenja podrške za RDAP protokol, dizajniran da zamijeni WHOIS protokol, zaposlenici APNIC-a su u Google Cloud cloud skladište postavili SQL dump baze podataka koja se koristi u Whois servisu, ali joj nisu ograničili pristup. Zbog greške u podešavanjima, SQL dump je bio javno dostupan tri mjeseca, a ta činjenica je otkrivena tek 4. juna, kada je to primijetio jedan od nezavisnih istraživača sigurnosti i obavijestio registrara o problemu.

SQL dump je sadržavao atribute "auth" koji sadrže hasheve lozinke za promjenu objekata tima za održavanje i odgovor na incidente (IRT), kao i neke osjetljive informacije o klijentima koje se ne prikazuju u Whois-u tokom uobičajenih upita (obično su to dodatne informacije o kontaktu i bilješke o korisniku) . U slučaju oporavka lozinke, napadači su uspjeli promijeniti sadržaj polja s parametrima vlasnika blokova IP adresa u Whois-u. Objekat Maintainer definiše osobu odgovornu za modifikaciju grupe zapisa povezanih preko atributa "mnt-by", a IRT objekat sadrži kontakt informacije za administratore koji odgovaraju na obaveštenja o problemu. Informacije o korištenom algoritmu za raspršivanje lozinki nisu date, ali su 2017. godine za heširanje korišteni zastarjeli MD5 i CRYPT-PW algoritmi (lozinke od 8 znakova s ​​hešovima zasnovanim na UNIX kripto funkciji).

Nakon identificiranja incidenta, APNIC je pokrenuo resetiranje lozinki za objekte u Whois-u. Na strani APNIC-a još nisu otkriveni znakovi nelegitimnih radnji, ali nema garancija da podaci nisu dospjeli u ruke napadača, budući da na Google Cloud-u ne postoje potpuni logovi pristupa datotekama. Kao i nakon prethodnog incidenta, APNIC je obećao da će izvršiti reviziju i izvršiti izmjene u tehnološkim procesima kako bi se spriječila slična curenja u budućnosti.

izvor: opennet.ru

Dodajte komentar