O rexistrador de APNIC, responsable da distribución de enderezos IP na rexión de Asia-Pacífico, informou dun incidente como resultado do cal un vertedoiro de SQL do servizo Whois, incluíndo datos confidenciais e hash de contrasinais, quedou a disposición do público. Cabe destacar que esta non é a primeira filtración de datos persoais en APNIC -en 2017, a base de datos Whois xa estaba a disposición do público, tamén debido á supervisión do persoal.
No proceso de implantación do soporte para o protocolo RDAP, deseñado para substituír o protocolo WHOIS, os empregados de APNIC colocaron un volcado SQL da base de datos utilizada no servizo Whois no almacenamento na nube de Google Cloud, pero non restrinxiron o acceso a el. Debido a un erro na configuración, o volcado de SQL estivo dispoñible publicamente durante tres meses e este feito revelouse só o 4 de xuño, cando un dos investigadores independentes de seguridade notou isto e notificou o problema ao rexistrador.
O volcado de SQL contiña atributos de "auth" que conteñen hash de contrasinais para cambiar os obxectos do mantedor e do equipo de resposta a incidentes (IRT), así como algunha información confidencial do cliente que non se mostra en Whois durante as consultas normais (normalmente información de contacto adicional e notas sobre o usuario). . No caso da recuperación do contrasinal, os atacantes puideron cambiar o contido dos campos cos parámetros dos propietarios dos bloques de enderezos IP en Whois. O obxecto Maintainer define a persoa responsable de modificar un grupo de rexistros ligados mediante o atributo "mnt-by", e o obxecto IRT contén información de contacto dos administradores que responden ás notificacións de problemas. Non se proporciona información sobre o algoritmo de hash de contrasinais utilizado, pero en 2017 utilizáronse para o hash algoritmos obsoletos MD5 e CRYPT-PW (contrasinais de 8 caracteres con hash baseados na función de cifrado de UNIX).
Despois de identificar o incidente, APNIC iniciou un restablecemento de contrasinais para obxectos en Whois. Por parte de APNIC, aínda non se detectaron indicios de actuacións ilexítimas, pero non hai garantías de que os datos non caian en mans dos atacantes, xa que non hai rexistros completos de acceso aos ficheiros en Google Cloud. Como despois do incidente anterior, APNIC comprometeuse a realizar unha auditoría e realizar cambios nos procesos tecnolóxicos para evitar filtracións similares no futuro.
Fonte: opennet.ru