APNIC registratorius, atsakingas už IP adresų platinimą Azijos ir Ramiojo vandenyno regione, pranešė apie incidentą, dėl kurio buvo viešai prieinamas Whois paslaugos SQL išrašas, įskaitant konfidencialius duomenis ir slaptažodžių maišą. Pastebėtina, kad tai ne pirmas asmens duomenų nutekėjimas APNIC – 2017 metais Whois duomenų bazė jau buvo paskelbta viešai, taip pat dėl darbuotojų priežiūros.
Įdiegdami RDAP protokolo, skirto pakeisti WHOIS protokolą, palaikymą, APNIC darbuotojai „Google Cloud“ debesies saugykloje patalpino „Whois“ paslaugoje naudojamos duomenų bazės SQL išvestį, bet neapribojo prieigos prie jos. Dėl nustatymų klaidos SQL dump buvo viešai prieinamas tris mėnesius ir šis faktas paaiškėjo tik birželio 4 d., kai vienas iš nepriklausomų saugumo tyrinėtojų tai pastebėjo ir apie problemą pranešė registratoriui.
SQL išklotinėje buvo atributų „auth“, kuriuose yra slaptažodžių maišos, skirtos keisti priežiūros ir incidentų komandos (IRT) objektus, taip pat kai kuri neskelbtina klientų informacija, kuri nerodoma „Whois“ atliekant įprastas užklausas (paprastai tai yra papildoma kontaktinė informacija ir pastabos apie vartotoją). . Slaptažodžio atkūrimo atveju užpuolikai galėjo pakeisti laukų turinį su „Whois“ IP adresų blokų savininkų parametrais. Objektas Maintainer apibrėžia asmenį, atsakingą už įrašų, susietų per atributą „mnt-by“, modifikavimą, o IRT objekte yra administratorių, atsakančių į pranešimus apie problemas, kontaktinė informacija. Informacija apie naudojamą slaptažodžių maišos algoritmą nepateikiama, tačiau 2017 m. maišymui buvo naudojami pasenę MD5 ir CRYPT-PW algoritmai (8 simbolių slaptažodžiai su maišais, paremti UNIX kripto funkcija).
Nustačiusi incidentą, APNIC inicijavo Whois objektų slaptažodžių nustatymą iš naujo. APNIC pusėje dar nebuvo aptikta jokių neteisėtų veiksmų požymių, tačiau nėra garantijų, kad duomenys nepateko į užpuolikų rankas, nes „Google Cloud“ nėra pilnų prieigos prie failų žurnalų. Kaip ir po ankstesnio incidento, APNIC pažadėjo atlikti auditą ir technologinių procesų pakeitimus, kad panašūs nutekėjimai nepasikartotų ateityje.
Šaltinis: opennet.ru