Der Registrar APNIC, verantwortlich für die Vergabe von IP-Adressen im asiatisch-pazifischen Raum, meldete einen Vorfall, bei dem ein Whois-SQL-Dump mit sensiblen Daten und Passwort-Hashes öffentlich zugänglich wurde. Bemerkenswert ist, dass dies nicht das erste Leck personenbezogener Daten bei APNIC ist – im Jahr 2017 war die Whois-Datenbank bereits gemeinfrei und auch aufgrund eines Versehens der Mitarbeiter.
Im Zuge der Implementierung der Unterstützung für das RDAP-Protokoll, das das WHOIS-Protokoll ersetzen soll, haben APNIC-Mitarbeiter einen SQL-Dump der im Whois-Dienst verwendeten Datenbank in Google Cloud abgelegt, den Zugriff darauf jedoch nicht eingeschränkt. Aufgrund eines Fehlers in den Einstellungen war der SQL-Dump drei Monate lang öffentlich verfügbar, und dieser Umstand wurde erst am 4. Juni bekannt, als einer der unabhängigen Sicherheitsforscher darauf aufmerksam machte und den Registrar über das Problem informierte.
Der SQL-Dump enthielt „Auth“-Attribute mit Passwort-Hashes zur Änderung der Objekte „Maintainer“ und „Incident Response Team“ (IRT) sowie einige vertrauliche Informationen über Kunden, die bei normalen Abfragen nicht im Whois angezeigt werden (normalerweise handelt es sich dabei um zusätzliche Kontaktdaten und Notizen). über den Benutzer). Im Falle der Passwortwiederherstellung hatten die Angreifer die Möglichkeit, den Inhalt der Felder mit den Parametern der Eigentümer von IP-Adressblöcken im Whois zu ändern. Das Maintainer-Objekt definiert die Person, die für die Änderung der durch das „mnt-by“-Attribut verknüpften Datensatzgruppe verantwortlich ist, und das IRT-Objekt enthält die Kontaktdaten von Administratoren, die auf Problembenachrichtigungen reagieren. Angaben zum verwendeten Passwort-Hashing-Algorithmus werden nicht gemacht, jedoch wurden im Jahr 2017 die veralteten MD5- und CRYPT-PW-Algorithmen (8-stellige Passwörter mit Hashes basierend auf der UNIX-Crypt-Funktion) zum Hashing verwendet.
Nach der Entdeckung des Vorfalls leitete APNIC ein Zurücksetzen der Passwörter für Objekte im Whois ein. Auf der APNIC-Seite wurden bisher keine Anzeichen für rechtswidrige Handlungen gefunden, es gibt jedoch keine Garantie dafür, dass die Daten nicht in die Hände von Eindringlingen gelangten, da es keine vollständigen Zugriffsprotokolle auf Dateien in Google Cloud gibt. Wie schon nach dem letzten Vorfall versprach APNIC, ein Audit durchzuführen und Änderungen an den technologischen Prozessen vorzunehmen, um solche Lecks in Zukunft zu verhindern.
Source: opennet.ru