APNIC-i registripidaja, kes vastutab IP-aadresside levitamise eest Aasia ja Vaikse ookeani piirkonnas, teatas intsidendist, mille tagajärjel muudeti avalikult kättesaadavaks Whoisi teenuse SQL-i dump, sealhulgas konfidentsiaalsed andmed ja parooliräsid. Tähelepanuväärne on, et tegemist ei ole esimese isikuandmete lekkega APNIC-s – 2017. aastal tehti Whoisi andmebaas juba avalikult kättesaadavaks, seda ka töötajate järelevalve tõttu.
WHOIS-protokolli asendamiseks mõeldud RDAP-protokolli toe juurutamise käigus paigutasid APNIC-i töötajad Whoisi teenuses kasutatava andmebaasi SQL-i prügimälu Google Cloudi pilvesalvestusse, kuid ei piiranud sellele juurdepääsu. Seadete vea tõttu oli SQL dump avalikult kättesaadav kolm kuud ja see fakt selgus alles 4. juunil, kui üks sõltumatutest turvauurijatest seda märkas ja registripidajat probleemist teavitas.
SQL-i dump sisaldas "auth" atribuute, mis sisaldasid parooli räsisid hooldaja ja intsidentidele reageerimise meeskonna (IRT) objektide muutmiseks, samuti mõnda tundlikku klienditeavet, mida Whoisis tavapäringute ajal ei kuvata (tavaliselt lisakontaktteave ja märkused kasutaja kohta). . Parooli taastamise puhul said ründajad Whoisis IP-aadressiplokkide omanike parameetritega väljade sisu muuta. Objekt Maintainer määratleb isiku, kes vastutab atribuudi "mnt-by" kaudu lingitud kirjete rühma muutmise eest, ja IRT-objekt sisaldab probleemiteadetele reageerivate administraatorite kontaktteavet. Kasutatava parooliräsimisalgoritmi kohta infot ei esitata, kuid 2017. aastal kasutati räsimiseks vananenud MD5 ja CRYPT-PW algoritme (UNIX krüptifunktsioonil põhinevad räsidega 8-kohalised paroolid).
Pärast juhtumi tuvastamist alustas APNIC Whoisi objektide paroolide lähtestamist. APNIC-i poolel ei ole veel tuvastatud märke ebaseaduslikust tegevusest, kuid pole garantiid, et andmed ei sattunud ründajate kätte, kuna Google Cloudis puuduvad täielikud failidele juurdepääsu logid. Nagu pärast eelmist intsidenti, lubas APNIC viia läbi auditi ja teha tehnoloogilistes protsessides muudatusi, et sarnaseid lekkeid tulevikus vältida.
Allikas: opennet.ru