Il registrar APNIC, responsabile della distribuzione degli indirizzi IP nella regione Asia-Pacifico, ha segnalato un incidente a seguito del quale è stato reso pubblico un dump SQL del servizio Whois, compresi i dati riservati e gli hash delle password. È interessante notare che questa non è la prima fuga di dati personali nell'APNIC: nel 2017 il database Whois era già stato reso pubblico, anche a causa della supervisione del personale.
Nel processo di introduzione del supporto per il protocollo RDAP, progettato per sostituire il protocollo WHOIS, i dipendenti APNIC hanno inserito un dump SQL del database utilizzato nel servizio Whois nello spazio di archiviazione cloud di Google Cloud, ma non ne hanno limitato l'accesso. A causa di un errore nelle impostazioni, il dump SQL è rimasto pubblicamente disponibile per tre mesi e questo fatto è stato rivelato solo il 4 giugno, quando uno dei ricercatori di sicurezza indipendenti se ne è accorto e ha informato il registrar del problema.
Il dump SQL conteneva attributi "auth" contenenti hash delle password per la modifica degli oggetti del manutentore e dell'incident Response Team (IRT), nonché alcune informazioni sensibili sui clienti che non vengono visualizzate in Whois durante le normali query (di solito informazioni di contatto aggiuntive e note sull'utente) . Nel caso del recupero della password gli aggressori sono riusciti a modificare il contenuto dei campi con i parametri dei proprietari dei blocchi di indirizzi IP in Whois. L'oggetto Manutentore definisce la persona responsabile della modifica di un gruppo di record collegati tramite l'attributo "mnt-by" e l'oggetto IRT contiene le informazioni di contatto per gli amministratori che rispondono alle notifiche di problemi. Non vengono fornite informazioni sull'algoritmo di hashing della password utilizzato, ma nel 2017 per l'hashing sono stati utilizzati algoritmi MD5 e CRYPT-PW obsoleti (password di 8 caratteri con hash basati sulla funzione di crittografia UNIX).
Dopo aver identificato l'incidente, APNIC ha avviato la reimpostazione delle password per gli oggetti in Whois. Dal lato APNIC non sono stati ancora rilevati segni di azioni illegittime, ma non ci sono garanzie che i dati non finiscano nelle mani degli aggressori, poiché non esistono registri completi di accesso ai file in Google Cloud. Come dopo l’incidente precedente, APNIC ha promesso di condurre un audit e di apportare modifiche ai processi tecnologici per evitare fughe di notizie simili in futuro.
Fonte: opennet.ru