Den APNIC Registrar, verantwortlech fir d'Verdeelung vun IP Adressen an der Asien-Pazifik Regioun, huet en Tëschefall gemellt als Resultat vun deem e SQL Dump vum Whois Service, inklusiv vertraulech Donnéeën a Passwuert Hashes, ëffentlech verfügbar gemaach gouf. Et ass bemierkenswäert datt dëst net den éischte Leck vu perséinlechen Donnéeën am APNIC ass - am Joer 2017 gouf d'Whois-Datebank scho ëffentlech verfügbar gemaach, och wéinst der Iwwerwaachung vum Personal.
Am Prozess fir d'Ënnerstëtzung fir den RDAP-Protokoll anzeféieren, entwéckelt fir de WHOIS-Protokoll z'ersetzen, hunn APNIC-Mataarbechter e SQL Dump vun der Datebank, déi am Whois-Service an der Google Cloud Cloud Storage benotzt gëtt, plazéiert, awer den Zougang dozou net beschränkt. Wéinst engem Fehler an den Astellunge war de SQL Dump fir dräi Méint ëffentlech verfügbar an dës Tatsaach gouf eréischt de 4. Juni opgedeckt, wéi ee vun den onofhängege Sécherheetsfuerscher dat gemierkt huet an de Registrar iwwer de Problem informéiert huet.
De SQL Dump enthält "auth" Attributer mat Passwuert-Hashes fir d'Verännerung vum Maintainer an Incident Response Team (IRT) Objeten, souwéi e puer sensibel Clientsinformatiounen déi net an Whois während normalen Ufroen ugewise ginn (normalerweis zousätzlech Kontaktinformatioun an Notizen iwwer de Benotzer) . Am Fall vun der Passwuert Erhuelung konnten d'Ugräifer den Inhalt vun de Felder mat de Parameteren vun de Besëtzer vun IP Adressblocken an Whois änneren. Den Maintainer-Objet definéiert déi Persoun déi verantwortlech ass fir e Grupp vu Rekorder z'änneren, déi duerch den Attribut "mnt-by" verlinkt sinn, an den IRT-Objet enthält Kontaktinformatioun fir Administrateuren déi op Probleem Notifikatiounen reagéieren. Informatioun iwwer de benotzte Passwuert-Hashing-Algorithmus gëtt net zur Verfügung gestallt, awer am Joer 2017 goufen algorithmen MD5 a CRYPT-PW (8-Charakter Passwierder mat Hashes baséiert op der UNIX-Krypt-Funktioun) fir Hashing benotzt.
Nodeems den Tëschefall z'identifizéieren, huet APNIC e Reset vu Passwierder fir Objeten an Whois initiéiert. Op der APNIC Säit sinn nach keng Unzeeche vun illegitim Handlungen festgestallt ginn, awer et gi keng Garantien datt d'Donnéeën net an d'Hänn vun den Ugräifer gefall sinn, well et keng komplett Logbicher fir Zougang zu Dateien op Google Cloud sinn. Wéi no der viregter Tëschefall, versprach APNIC engem Audit ze maachen an Ännerunge fir technologesch Prozesser ze maachen ähnleche Fuite an Zukunft verhënneren.
Source: opennet.ru