Ο καταχωρητής APNIC, υπεύθυνος για τη διανομή των διευθύνσεων IP στην περιοχή Ασίας-Ειρηνικού, ανέφερε ένα περιστατικό ως αποτέλεσμα του οποίου μια απόρριψη SQL της υπηρεσίας Whois, συμπεριλαμβανομένων εμπιστευτικών δεδομένων και κατακερματισμών κωδικών πρόσβασης, έγινε δημόσια διαθέσιμη. Αξίζει να σημειωθεί ότι αυτή δεν είναι η πρώτη διαρροή προσωπικών δεδομένων στο APNIC - το 2017, η βάση δεδομένων Whois είχε ήδη δημοσιοποιηθεί, επίσης λόγω εποπτείας του προσωπικού.
Κατά τη διαδικασία εισαγωγής υποστήριξης για το πρωτόκολλο RDAP, που έχει σχεδιαστεί για να αντικαταστήσει το πρωτόκολλο WHOIS, οι υπάλληλοι του APNIC τοποθέτησαν μια ένδειξη SQL της βάσης δεδομένων που χρησιμοποιείται στην υπηρεσία Whois στον χώρο αποθήκευσης cloud του Google Cloud, αλλά δεν περιόρισαν την πρόσβαση σε αυτήν. Λόγω ενός σφάλματος στις ρυθμίσεις, η ένδειξη SQL ήταν διαθέσιμη δημόσια για τρεις μήνες και αυτό το γεγονός αποκαλύφθηκε μόλις στις 4 Ιουνίου, όταν ένας από τους ανεξάρτητους ερευνητές ασφαλείας το παρατήρησε και ειδοποίησε τον καταχωρητή για το πρόβλημα.
Η ένδειξη SQL περιείχε χαρακτηριστικά "auth" που περιείχαν κατακερματισμούς κωδικού πρόσβασης για την αλλαγή αντικειμένων Maintainer και Incident Response Team (IRT), καθώς και ορισμένες ευαίσθητες πληροφορίες πελάτη που δεν εμφανίζονται στο Whois κατά τη διάρκεια κανονικών ερωτημάτων (συνήθως πρόσθετες πληροφορίες επικοινωνίας και σημειώσεις σχετικά με τον χρήστη) . Στην περίπτωση ανάκτησης κωδικού πρόσβασης, οι εισβολείς μπόρεσαν να αλλάξουν τα περιεχόμενα των πεδίων με τις παραμέτρους των κατόχων μπλοκ διευθύνσεων IP στο Whois. Το αντικείμενο Maintainer ορίζει το άτομο που είναι υπεύθυνο για την τροποποίηση μιας ομάδας εγγραφών που συνδέονται μέσω του χαρακτηριστικού "mnt-by" και το αντικείμενο IRT περιέχει πληροφορίες επικοινωνίας για διαχειριστές που ανταποκρίνονται σε ειδοποιήσεις προβλημάτων. Δεν παρέχονται πληροφορίες σχετικά με τον αλγόριθμο κατακερματισμού κωδικού πρόσβασης που χρησιμοποιείται, αλλά το 2017 χρησιμοποιήθηκαν για κατακερματισμό απαρχαιωμένοι αλγόριθμοι MD5 και CRYPT-PW (κωδικοί πρόσβασης 8 χαρακτήρων με κατακερματισμό που βασίζονται στη συνάρτηση κρυπτογράφησης UNIX).
Μετά την αναγνώριση του συμβάντος, το APNIC ξεκίνησε μια επαναφορά κωδικών πρόσβασης για αντικείμενα στο Whois. Από την πλευρά του APNIC, δεν έχουν εντοπιστεί ακόμη σημάδια παράνομων ενεργειών, αλλά δεν υπάρχουν εγγυήσεις ότι τα δεδομένα δεν έπεσαν στα χέρια των εισβολέων, καθώς δεν υπάρχουν πλήρη αρχεία καταγραφής πρόσβασης σε αρχεία στο Google Cloud. Όπως και μετά το προηγούμενο περιστατικό, η APNIC υποσχέθηκε να πραγματοποιήσει έλεγχο και να κάνει αλλαγές στις τεχνολογικές διαδικασίες για να αποτρέψει παρόμοιες διαρροές στο μέλλον.
Πηγή: opennet.ru