De APNIC-registrar, verantwoordelijk voor de distributie van IP-adressen in de regio Azië-Pacific, maakte melding van een incident waardoor een SQL-dump van de Whois-dienst, inclusief vertrouwelijke gegevens en wachtwoord-hashes, publiekelijk beschikbaar kwam. Het is opmerkelijk dat dit niet het eerste lek van persoonlijke gegevens in APNIC is - in 2017 werd de Whois-database al openbaar beschikbaar gemaakt, ook vanwege toezicht van het personeel.
Tijdens het proces van introductie van ondersteuning voor het RDAP-protocol, ontworpen om het WHOIS-protocol te vervangen, plaatsten medewerkers van APNIC een SQL-dump van de database die in de Whois-service wordt gebruikt in de Google Cloud-cloudopslag, maar beperkten de toegang daartoe niet. Door een fout in de instellingen was de SQL-dump drie maanden publiekelijk beschikbaar en dit feit werd pas op 4 juni onthuld, toen een van de onafhankelijke beveiligingsonderzoekers dit opmerkte en de registrar op de hoogte bracht van het probleem.
De SQL-dump bevatte 'auth'-attributen met wachtwoord-hashes voor het wijzigen van Onderhouder- en Incident Response Team-objecten (IRT), evenals enkele gevoelige klantinformatie die tijdens normale zoekopdrachten niet in Whois wordt weergegeven (meestal aanvullende contactgegevens en opmerkingen over de gebruiker) . In het geval van wachtwoordherstel konden de aanvallers de inhoud van de velden wijzigen met de parameters van de eigenaren van IP-adresblokken in Whois. Het Onderhouder-object definieert de persoon die verantwoordelijk is voor het wijzigen van een groep records die zijn gekoppeld via het kenmerk "mnt-by", en het IRT-object bevat contactgegevens voor beheerders die reageren op probleemmeldingen. Informatie over het gebruikte wachtwoord-hash-algoritme wordt niet verstrekt, maar in 2017 werden voor het hashen verouderde MD5- en CRYPT-PW-algoritmen (wachtwoorden van 8 tekens met hashes gebaseerd op de UNIX-cryptiefunctie) gebruikt.
Nadat het incident was geïdentificeerd, startte APNIC een reset van de wachtwoorden voor objecten in Whois. Aan de kant van APNIC zijn er nog geen tekenen van onwettige acties gedetecteerd, maar er zijn geen garanties dat de gegevens niet in handen van aanvallers zijn gevallen, aangezien er geen volledige logbestanden zijn van toegang tot bestanden op Google Cloud. Net als na het vorige incident beloofde APNIC een audit uit te voeren en wijzigingen aan te brengen in de technologische processen om soortgelijke lekken in de toekomst te voorkomen.
Bron: opennet.ru