El registrador APNIC, responsable de la distribución de direcciones IP en la región de Asia y el Pacífico, informó de un incidente a raíz del cual se puso a disposición del público un volcado SQL del servicio Whois, que incluía datos confidenciales y hashes de contraseñas. Cabe destacar que esta no es la primera filtración de datos personales en APNIC: en 2017, la base de datos Whois ya se hizo pública, también debido a la supervisión del personal.
En el proceso de introducción del soporte para el protocolo RDAP, diseñado para reemplazar el protocolo WHOIS, los empleados de APNIC colocaron un volcado SQL de la base de datos utilizada en el servicio Whois en el almacenamiento en la nube de Google Cloud, pero no restringieron el acceso a él. Debido a un error en la configuración, el volcado de SQL estuvo disponible públicamente durante tres meses y este hecho no se reveló hasta el 4 de junio, cuando uno de los investigadores de seguridad independientes se dio cuenta y notificó al registrador sobre el problema.
El volcado de SQL contenía atributos de "auth" que contenían hash de contraseña para cambiar los objetos del Mantenedor y del Equipo de respuesta a incidentes (IRT), así como información confidencial del cliente que no se muestra en Whois durante las consultas normales (generalmente información de contacto adicional y notas sobre el usuario). . En el caso de la recuperación de contraseña, los atacantes pudieron cambiar el contenido de los campos con los parámetros de los propietarios de los bloques de direcciones IP en Whois. El objeto Mantenedor define la persona responsable de modificar un grupo de registros vinculados a través del atributo "mnt-by", y el objeto IRT contiene información de contacto para los administradores que responden a notificaciones de problemas. No se proporciona información sobre el algoritmo de hash de contraseñas utilizado, pero en 2017, se utilizaron algoritmos obsoletos MD5 y CRYPT-PW (contraseñas de 8 caracteres con hashes basados en la función de cripta UNIX) para el hash.
Luego de identificar el incidente, APNIC inició un restablecimiento de contraseñas de objetos en Whois. Por parte de APNIC, aún no se han detectado signos de acciones ilegítimas, pero no hay garantías de que los datos no hayan caído en manos de atacantes, ya que no existen registros completos de acceso a los archivos en Google Cloud. Como después del incidente anterior, APNIC se comprometió a realizar una auditoría y realizar cambios en los procesos tecnológicos para evitar filtraciones similares en el futuro.
Fuente: opennet.ru