Registrátor APNIC, odpovědný za distribuci IP adres v asijsko-pacifickém regionu, nahlásil incident, v jehož důsledku byl veřejně dostupný výpis SQL služby Whois, včetně důvěrných dat a hesel. Pozoruhodné je, že se nejedná o první únik osobních údajů v APNIC – v roce 2017 již byla databáze Whois zpřístupněna veřejnosti, a to i kvůli dozoru zaměstnanců.
V procesu zavádění podpory protokolu RDAP, který má nahradit protokol WHOIS, zaměstnanci APNIC umístili SQL výpis databáze používané ve službě Whois do cloudového úložiště Google Cloud, ale neomezili k němu přístup. Kvůli chybě v nastavení byl SQL dump veřejně dostupný tři měsíce a tato skutečnost byla odhalena až 4. června, kdy si toho všiml jeden z nezávislých bezpečnostních výzkumníků a na problém upozornil registrátora.
Výpis SQL obsahoval atributy „auth“ obsahující hodnoty hash hesel pro změnu objektů Maintainer a Incident Response Team (IRT) a také některé citlivé informace o zákaznících, které se během běžných dotazů nezobrazují ve službě Whois (obvykle další kontaktní informace a poznámky o uživateli) . V případě obnovy hesla mohli útočníci změnit obsah polí s parametry vlastníků bloků IP adres ve Whois. Objekt Maintainer definuje osobu odpovědnou za úpravu skupiny záznamů propojených prostřednictvím atributu „mnt-by“ a objekt IRT obsahuje kontaktní informace pro administrátory, kteří reagují na upozornění na problém. Informace o použitém algoritmu hašování hesel nejsou uvedeny, ale v roce 2017 byly k hašování použity zastaralé algoritmy MD5 a CRYPT-PW (8znaková hesla s hašemi na základě funkce UNIX crypt).
Po identifikaci incidentu APNIC inicioval reset hesel pro objekty ve Whois. Na straně APNIC nebyly dosud zjištěny žádné známky nelegitimních akcí, ale neexistují žádné záruky, že se data nedostala do rukou útočníků, protože neexistují žádné úplné protokoly o přístupu k souborům na Google Cloud. Stejně jako po předchozím incidentu APNIC slíbil, že provede audit a provede změny technologických postupů, aby se podobným únikům v budoucnu zabránilo.
Zdroj: opennet.ru