APNIC-registratoren, der er ansvarlig for distributionen af IP-adresser i Asien-Stillehavsområdet, rapporterede en hændelse, som resulterede i, at en SQL-dump af Whois-tjenesten, inklusive fortrolige data og kodeords-hash, blev gjort offentligt tilgængelig. Det er bemærkelsesværdigt, at dette ikke er det første læk af persondata i APNIC - i 2017 blev Whois-databasen allerede gjort offentligt tilgængelig, også på grund af personaletilsyn.
I processen med at introducere support til RDAP-protokollen, designet til at erstatte WHOIS-protokollen, placerede APNIC-medarbejdere et SQL-dump af databasen, der blev brugt i Whois-tjenesten, i Google Cloud-skylageret, men begrænsede ikke adgangen til den. På grund af en fejl i indstillingerne var SQL-dumpet offentligt tilgængeligt i tre måneder, og dette faktum blev først afsløret den 4. juni, da en af de uafhængige sikkerhedsforskere bemærkede dette og underrettede registratoren om problemet.
SQL-dumpet indeholdt "auth"-attributter, der indeholdt kodeords-hasher til ændring af vedligeholdelses- og hændelsesteam-objekter (IRT) samt nogle følsomme kundeoplysninger, der ikke vises i Whois under normale forespørgsler (normalt yderligere kontaktoplysninger og noter om brugeren) . I tilfælde af gendannelse af adgangskode var angriberne i stand til at ændre indholdet af felterne med parametrene for ejerne af IP-adresseblokke i Whois. Vedligeholdelsesobjektet definerer den person, der er ansvarlig for at ændre en gruppe af poster, der er forbundet via attributten "mnt-by", og IRT-objektet indeholder kontaktoplysninger til administratorer, der reagerer på problemmeddelelser. Oplysninger om den anvendte password-hash-algoritme er ikke givet, men i 2017 blev forældede MD5- og CRYPT-PW-algoritmer (8-tegns passwords med hashes baseret på UNIX-krypteringsfunktionen) brugt til hashing.
Efter at have identificeret hændelsen, startede APNIC en nulstilling af adgangskoder til objekter i Whois. På APNIC-siden er der endnu ikke fundet tegn på ulovlige handlinger, men der er ingen garantier for, at dataene ikke faldt i hænderne på angribere, da der ikke er fuldstændige logfiler over adgang til filer i Google Cloud. Som efter den tidligere hændelse lovede APNIC at gennemføre en revision og foretage ændringer i teknologiske processer for at forhindre lignende lækager i fremtiden.
Kilde: opennet.ru