Leck von Passwort-Hashes des Whois-Dienstes des Internetregistrars APNIC

Der APNIC-Registrar, der fĂŒr die Vergabe von IP-Adressen in der Asien-Pazifik-Region zustĂ€ndig ist, hat einen Vorfall gemeldet, bei dem ein SQL-Dump des Whois-Dienstes öffentlich zugĂ€nglich wurde. Dieser Inhalt enthĂ€lt vertrauliche Daten und Passwort-Hashes. Bemerkenswert ist, dass dies nicht die erste Datenleckage bei APNIC ist – bereits 2017 gelangte die Whois-Datenbank ebenfalls durch ein Versehen des Personals in die Öffentlichkeit.

Im Zuge der EinfĂŒhrung der UnterstĂŒtzung des RDAP-Protokolls, das das WHOIS-Protokoll ablösen soll, haben Mitarbeiter von APNIC den SQL-Dump der Datenbank, die im Whois-Dienst verwendet wird, in einem Google Cloud-Speicher abgelegt, jedoch den Zugriff darauf nicht eingeschrĂ€nkt. Aufgrund eines Fehlers in den Einstellungen war der SQL-Dump drei Monate lang öffentlich zugĂ€nglich, und dieser Umstand wurde erst am 4. Juni entdeckt, als ein unabhĂ€ngiger Sicherheitsforscher darauf aufmerksam wurde und den Registrar ĂŒber das Problem informierte.

Im SQL-Dump fanden sich die Attribute „auth“, die Passwort-Hashes fĂŒr die Änderung der Objekte Maintainer und Incident Response Team (IRT) enthalten, sowie einige vertrauliche Informationen ĂŒber Kunden, die bei normalen Whois-Anfragen nicht angezeigt werden (in der Regel sind dies zusĂ€tzliche Kontaktdaten und Hinweise zum Benutzer). Im Falle von Passwortwiederherstellungen hatten Angreifer die Möglichkeit, den Inhalt der Felder mit den EigentĂŒmerparametern zu Ă€ndern. IP-Adressen in Whois. Das Objekt Maintainer definiert die Person, die fĂŒr die Änderung der Gruppe von DatensĂ€tzen verantwortlich ist, die ĂŒber das Attribut „mnt-by“ miteinander verbunden sind, wĂ€hrend das Objekt IRT die Kontaktdaten der Administratoren enthĂ€lt, die auf Problembenachrichtigungen reagieren. Informationen ĂŒber den verwendeten Passwort-Hashing-Algorithmus werden nicht bereitgestellt, jedoch wurden im Jahr 2017 veraltete Algorithmen wie MD5 und CRYPT-PW (8-stellige Passwörter mit Hashes, die auf der UNIX-crypt-Funktion basieren) verwendet.

Nach dem Vorfall hat APNIC einen Passwortreset fĂŒr die Objekte im Whois initiiert. Auf Seiten von APNIC wurden bisher keine Anzeichen fĂŒr illegitime AktivitĂ€ten festgestellt, jedoch gibt es keine Garantie, dass die Daten nicht in die HĂ€nde von Angreifern gelangt sind, da vollstĂ€ndige Zugriffsprotokolle auf die Dateien in Google Cloud fehlen. Wie nach dem letzten Vorfall hat APNIC versprochen, eine ÜberprĂŒfung durchzufĂŒhren und Änderungen an den technologischen Prozessen vorzunehmen, um Ă€hnliche Leaks in der Zukunft zu verhindern.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster