Az ázsiai-csendes-óceáni térségben az IP-címek elosztásáért felelős APNIC regisztrátor egy incidenst jelentett, amelynek eredményeként nyilvánosan elérhetővé tették a Whois szolgáltatás SQL dump-jét, beleértve a bizalmas adatokat és jelszókivonatokat. Figyelemre méltó, hogy nem ez az első személyes adatok kiszivárogtatása az APNIC-ben – 2017-ben már nyilvánosan elérhetővé tették a Whois adatbázist, szintén személyzeti felügyelet miatt.
A WHOIS protokollt helyettesítő RDAP protokoll támogatásának bevezetése során az APNIC munkatársai a Whois szolgáltatásban használt adatbázis SQL dump-jét helyezték el a Google Cloud felhőtárhelyen, de nem korlátozták a hozzáférést. A beállítások hibája miatt az SQL dump három hónapig volt nyilvánosan elérhető, és ez a tény csak június 4-én derült ki, amikor az egyik független biztonsági kutató ezt észrevette és értesítette a regisztrátort a problémáról.
Az SQL dump "auth" attribútumokat tartalmazott, amelyek jelszókivonatokat tartalmaztak a Maintainer és Incident Response Team (IRT) objektumok megváltoztatásához, valamint néhány olyan bizalmas ügyfélinformációt, amelyek nem jelennek meg a Whoisban a normál lekérdezések során (általában további kapcsolatfelvételi adatok és megjegyzések a felhasználóról). . Jelszó-helyreállítás esetén a támadók megváltoztathatták a mezők tartalmát a Whois IP-címblokkjainak tulajdonosainak paramétereivel. A Maintainer objektum meghatározza az "mnt-by" attribútummal hivatkozott rekordcsoport módosításáért felelős személyt, az IRT objektum pedig a problémaértesítésekre válaszoló rendszergazdák kapcsolatfelvételi adatait tartalmazza. A használt jelszókivonat-algoritmusról nem adunk tájékoztatást, de 2017-ben elavult MD5 és CRYPT-PW algoritmusokat (8 karakteres jelszavak UNIX crypt funkción alapuló hashekkel) használtak a kivonatoláshoz.
Az incidens azonosítása után az APNIC elindította a Whois objektumai jelszavainak visszaállítását. Az APNIC-oldalon még nem észleltek törvénytelen cselekvésre utaló jeleket, de nincs garancia arra, hogy az adatok nem kerültek támadók kezébe, mivel a Google Cloudon nincsenek teljes naplók a fájlokhoz való hozzáférésről. A korábbi esethez hasonlóan az APNIC ígéretet tett arra, hogy auditot hajt végre, és változtatásokat hajt végre a technológiai folyamatokon a hasonló szivárgások megelőzése érdekében.
Forrás: opennet.ru