APNIC registar, odgovoran za distribuciju IP adresa u azijsko-pacifičkoj regiji, izvijestio je o incidentu zbog kojeg je SQL dump usluge Whois, uključujući povjerljive podatke i hashove zaporki, postao javno dostupan. Zanimljivo je da ovo nije prvo curenje osobnih podataka u APNIC-u – 2017. je Whois baza već bila javno dostupna, također zbog propusta osoblja.
U procesu uvođenja podrške za RDAP protokol, osmišljen kao zamjena za WHOIS protokol, djelatnici APNIC-a postavili su SQL dump baze podataka koja se koristi u Whois servisu u Google Cloud pohranu u oblaku, ali nisu ograničili pristup istom. Zbog greške u postavkama SQL dump je bio javno dostupan tri mjeseca, a ta je činjenica otkrivena tek 4. lipnja, kada je to primijetio jedan od neovisnih sigurnosnih istraživača i o problemu obavijestio matičara.
SQL dump je sadržavao atribute "auth" koji su sadržavali hashove lozinki za mijenjanje objekata održavatelja i tima za odgovor na incidente (IRT), kao i neke osjetljive podatke o klijentima koji se ne prikazuju u Whoisu tijekom uobičajenih upita (obično dodatne informacije za kontakt i bilješke o korisniku) . U slučaju oporavka lozinke, napadači su mogli promijeniti sadržaj polja s parametrima vlasnika blokova IP adresa u Whoisu. Objekt Maintainer definira osobu odgovornu za izmjenu grupe zapisa povezanih preko atributa "mnt-by", a IRT objekt sadrži kontakt podatke za administratore koji odgovaraju na obavijesti o problemima. Informacije o korištenom algoritmu raspršivanja zaporki nisu navedene, ali 2017. za raspršivanje su korišteni zastarjeli algoritmi MD5 i CRYPT-PW (lozinke od 8 znakova s raspršivanjem na temelju UNIX kript funkcije).
Nakon identificiranja incidenta, APNIC je pokrenuo ponovno postavljanje lozinki za objekte u Whoisu. Na strani APNIC-a još uvijek nisu otkriveni nikakvi znakovi nelegitimnih radnji, ali nema jamstava da podaci nisu pali u ruke napadača, budući da ne postoje potpuni zapisi pristupa datotekama na Google Cloudu. Kao i nakon prethodnog incidenta, APNIC je obećao provesti reviziju i promijeniti tehnološke procese kako bi spriječio slična curenja u budućnosti.
Izvor: opennet.ru