アジア太平洋地域での IP アドレスの配布を担当する APNIC レジストラは、機密データやパスワード ハッシュを含む Whois サービスの SQL ダンプが公開されたインシデントを報告しました。 APNICにおける個人データの漏洩がこれが初めてではないことは注目に値する。2017年には、これもスタッフの監視により、Whoisデータベースはすでに公開されていた。
WHOIS プロトコルを置き換えるように設計された RDAP プロトコルのサポートを導入する過程で、APNIC の従業員は Whois サービスで使用されるデータベースの SQL ダンプを Google Cloud クラウド ストレージに配置しましたが、そのへのアクセスは制限しませんでした。 設定ミスのため、SQL ダンプは 4 か月間公開されていましたが、この事実が明らかになったのは XNUMX 月 XNUMX 日で、独立したセキュリティ研究者の XNUMX 人がこれに気づき、レジストラに問題について通知しました。
SQL ダンプには、Maintainer および Incident Response Team (IRT) オブジェクトを変更するためのパスワード ハッシュを含む「auth」属性と、通常のクエリでは Whois に表示されないいくつかの機密顧客情報 (通常はユーザーに関する追加の連絡先情報とメモ) が含まれていました。 。 パスワード回復の場合、攻撃者は、Whois の IP アドレス ブロックの所有者のパラメータを含むフィールドの内容を変更することができました。 Maintainer オブジェクトは、「mnt-by」属性を通じてリンクされたレコードのグループを変更する責任者を定義し、IRT オブジェクトには、問題通知に応答する管理者の連絡先情報が含まれています。 使用されたパスワード ハッシュ アルゴリズムに関する情報は提供されていませんが、2017 年には、古い MD5 および CRYPT-PW アルゴリズム (UNIX crypt 関数に基づくハッシュを含む 8 文字のパスワード) がハッシュに使用されていました。
インシデントを特定した後、APNIC は Whois 内のオブジェクトのパスワードのリセットを開始しました。 APNIC 側では、不正行為の兆候はまだ検出されていませんが、Google Cloud 上のファイルへのアクセスの完全なログがないため、データが攻撃者の手に渡っていないという保証はありません。 前回の事件後と同様、APNICは監査を実施し、将来同様の漏洩を防ぐために技術プロセスに変更を加えると約束した。
出所: オープンネット.ru