El registrador d'APNIC, responsable de la distribució d'adreces IP a la regió d'Àsia-Pacífic, va informar d'un incident com a conseqüència del qual es va posar a disposició del públic un abocador SQL del servei Whois, incloses dades confidencials i hash de contrasenya. Cal destacar que aquesta no és la primera filtració de dades personals a l'APNIC: el 2017, la base de dades Whois ja es va posar a disposició del públic, també per la supervisió del personal.
En el procés d'introducció del suport per al protocol RDAP, dissenyat per substituir el protocol WHOIS, els empleats d'APNIC van col·locar un bolcat SQL de la base de dades utilitzada en el servei Whois a l'emmagatzematge al núvol de Google Cloud, però no hi van restringir l'accés. A causa d'un error en la configuració, l'abocament SQL va estar disponible públicament durant tres mesos i aquest fet només es va revelar el 4 de juny, quan un dels investigadors de seguretat independents es va adonar i va notificar el problema al registrador.
L'abocament SQL contenia atributs d'"auth" que contenien hash de contrasenya per canviar els objectes del Mantenidor i de l'equip de resposta a incidents (IRT), així com algunes dades sensibles del client que no es mostraven a Whois durant les consultes normals (normalment informació de contacte addicional i notes sobre l'usuari). . En el cas de la recuperació de la contrasenya, els atacants van poder canviar el contingut dels camps amb els paràmetres dels propietaris dels blocs d'adreces IP a Whois. L'objecte Maintainer defineix la persona responsable de modificar un grup de registres enllaçats mitjançant l'atribut "mnt-by", i l'objecte IRT conté informació de contacte per als administradors que responen a les notificacions de problemes. No es proporciona informació sobre l'algoritme hash de contrasenya utilitzat, però el 2017, es van utilitzar algorismes obsolets MD5 i CRYPT-PW (contrasenyes de 8 caràcters amb hash basats en la funció de xifrat UNIX) per a la funció hash.
Després d'identificar l'incident, APNIC va iniciar un restabliment de les contrasenyes dels objectes a Whois. Per part de l'APNIC, encara no s'han detectat indicis d'accions il·legítimes, però no hi ha garanties que les dades no caiguin en mans dels atacants, ja que no hi ha registres complets d'accés als fitxers a Google Cloud. Com després de l'anterior incident, APNIC es va comprometre a realitzar una auditoria i fer canvis en els processos tecnològics per evitar filtracions similars en el futur.
Font: opennet.ru