APNIC reģistrators, kas ir atbildīgs par IP adrešu izplatīšanu Āzijas un Klusā okeāna reģionā, ziņoja par incidentu, kā rezultātā tika publiski pieejama Whois pakalpojuma SQL dump, tostarp konfidenciāli dati un paroļu jaucējkodi. Zīmīgi, ka šī nav pirmā personas datu noplūde APNIC - 2017. gadā Whois datubāze jau bija publiski pieejama, arī darbinieku pārraudzības dēļ.
Ieviešot atbalstu RDAP protokolam, kas paredzēts WHOIS protokola aizstāšanai, APNIC darbinieki Google mākoņa krātuvē ievietoja Whois pakalpojumā izmantotās datu bāzes SQL izgāztuvi, taču neierobežoja piekļuvi tai. Iestatījumu kļūdas dēļ SQL izgāztuve bija publiski pieejama trīs mēnešus un šis fakts atklājās tikai 4. jūnijā, kad to pamanīja kāds no neatkarīgiem drošības pētniekiem un paziņoja par problēmu reģistratūrai.
SQL izdrukā bija atribūti “auth”, kas satur paroļu jaucējus, lai mainītu uzturētāja un incidentu reaģēšanas grupas (IRT) objektus, kā arī noteiktu sensitīvu klientu informāciju, kas netiek rādīta pakalpojumā Whois parasto vaicājumu laikā (parasti papildu kontaktinformācija un piezīmes par lietotāju). . Paroles atkopšanas gadījumā uzbrucēji varēja mainīt lauku saturu ar IP adrešu bloku īpašnieku parametriem vietnē Whois. Objekts Maintainer definē personu, kas ir atbildīga par ierakstu grupas modificēšanu, kas saistīta ar atribūtu "mnt-by", un IRT objekts satur kontaktinformāciju administratoriem, kuri atbild uz paziņojumiem par problēmām. Informācija par izmantoto paroļu jaukšanas algoritmu netiek sniegta, taču 2017. gadā jaukšanai tika izmantoti novecojuši MD5 un CRYPT-PW algoritmi (8 rakstzīmju paroles ar jaukumiem, kuru pamatā ir UNIX šifrēšanas funkcija).
Pēc incidenta identificēšanas APNIC uzsāka Whois objektu paroļu atiestatīšanu. APNIC pusē vēl nav konstatētas nelikumīgas darbības pazīmes, taču nav garantiju, ka dati nav nonākuši uzbrucēju rokās, jo Google Cloud nav pilnīgu piekļuves žurnālu failiem. Tāpat kā pēc iepriekšējā incidenta, APNIC solīja veikt auditu un veikt izmaiņas tehnoloģiskajos procesos, lai novērstu līdzīgas noplūdes nākotnē.
Avots: opennet.ru