APNIC-registratoren, ansvarlig for distribusjonen av IP-adresser i Asia-Pacific-regionen, rapporterte en hendelse som et resultat av at en SQL-dump av Whois-tjenesten, inkludert konfidensielle data og passordhasher, ble gjort offentlig tilgjengelig. Det er bemerkelsesverdig at dette ikke er den første lekkasjen av personopplysninger i APNIC - i 2017 ble Whois-databasen allerede gjort offentlig tilgjengelig, også på grunn av personaltilsyn.
I prosessen med å introdusere støtte for RDAP-protokollen, designet for å erstatte WHOIS-protokollen, plasserte APNIC-ansatte en SQL-dump av databasen brukt i Whois-tjenesten i Google Cloud-skylagringen, men begrenset ikke tilgangen til den. På grunn av en feil i innstillingene var SQL-dumpen offentlig tilgjengelig i tre måneder, og dette faktum ble avslørt først 4. juni, da en av de uavhengige sikkerhetsforskerne la merke til dette og varslet registraren om problemet.
SQL-dumpen inneholdt "auth"-attributter som inneholder passord-hasher for endring av vedlikeholds- og hendelsesresponsteam-objekter (IRT), samt noe sensitiv kundeinformasjon som ikke vises i Whois under normale forespørsler (vanligvis tilleggskontaktinformasjon og merknader om brukeren) . Når det gjelder passordgjenoppretting, var angriperne i stand til å endre innholdet i feltene med parametrene til eierne av IP-adresseblokker i Whois. Vedlikeholdsobjektet definerer personen som er ansvarlig for å modifisere en gruppe poster koblet gjennom "mnt-by"-attributtet, og IRT-objektet inneholder kontaktinformasjon for administratorer som svarer på problemvarsler. Informasjon om passord-hashing-algoritmen som brukes er ikke gitt, men i 2017 ble utdaterte MD5- og CRYPT-PW-algoritmer (8-tegns passord med hashes basert på UNIX-krypteringsfunksjonen) brukt til hashing.
Etter å ha identifisert hendelsen, startet APNIC en tilbakestilling av passord for objekter i Whois. På APNIC-siden har det ennå ikke blitt oppdaget tegn til ulovlige handlinger, men det er ingen garantier for at dataene ikke falt i hendene på angripere, siden det ikke er fullstendige logger over tilgang til filer på Google Cloud. Som etter forrige hendelse lovet APNIC å gjennomføre en revisjon og gjøre endringer i teknologiske prosesser for å forhindre lignende lekkasjer i fremtiden.
Kilde: opennet.ru