Le bureau d'enregistrement de l'APNIC, responsable de la distribution des adresses IP dans la région Asie-Pacifique, a signalé un incident à la suite duquel un vidage SQL du service Whois, comprenant des données confidentielles et des hachages de mots de passe, a été rendu public. Il convient de noter qu'il ne s'agit pas de la première fuite de données personnelles au sein de l'APNIC : en 2017, la base de données Whois était déjà rendue publique, également en raison de la surveillance du personnel.
Lors du processus d'introduction de la prise en charge du protocole RDAP, conçu pour remplacer le protocole WHOIS, les employés d'APNIC ont placé un dump SQL de la base de données utilisée dans le service Whois dans le stockage cloud de Google Cloud, mais n'en ont pas restreint l'accès. En raison d'une erreur dans les paramètres, le dump SQL a été accessible au public pendant trois mois et ce fait n'a été révélé que le 4 juin, lorsqu'un des chercheurs indépendants en sécurité l'a remarqué et a informé le registraire du problème.
Le dump SQL contenait des attributs « auth » contenant des hachages de mot de passe pour modifier les objets du responsable et de l'équipe de réponse aux incidents (IRT), ainsi que certaines informations client sensibles qui ne sont pas affichées dans Whois lors des requêtes normales (généralement des informations de contact supplémentaires et des notes sur l'utilisateur). . Dans le cas de la récupération du mot de passe, les attaquants ont pu modifier le contenu des champs avec les paramètres des propriétaires des blocs d'adresses IP dans Whois. L'objet Mainteneur définit la personne responsable de la modification d'un groupe d'enregistrements liés via l'attribut "mnt-by", et l'objet IRT contient les informations de contact des administrateurs qui répondent aux notifications de problèmes. Les informations sur l'algorithme de hachage de mot de passe utilisé ne sont pas fournies, mais en 2017, des algorithmes obsolètes MD5 et CRYPT-PW (mots de passe à 8 caractères avec hachages basés sur la fonction de cryptage UNIX) ont été utilisés pour le hachage.
Après avoir identifié l'incident, l'APNIC a initié une réinitialisation des mots de passe des objets dans Whois. Du côté de l'APNIC, aucun signe d'actions illégitimes n'a encore été détecté, mais rien ne garantit que les données ne tomberont pas entre les mains d'attaquants, puisqu'il n'existe pas de journaux complets d'accès aux fichiers sur Google Cloud. Comme après l'incident précédent, l'APNIC a promis de procéder à un audit et d'apporter des modifications aux processus technologiques pour éviter des fuites similaires à l'avenir.
Source: opennet.ru