Rejestrator APNIC odpowiedzialny za dystrybucję adresów IP w regionie Azji i Pacyfiku zgłosił incydent, w wyniku którego udostępniono publicznie zrzut SQL usługi Whois zawierający poufne dane i skróty haseł. Warto zaznaczyć, że nie jest to pierwszy wyciek danych osobowych w APNIC – w 2017 roku baza Whois została już udostępniona publicznie, także na skutek niedopatrzeń pracowniczych.
W procesie wprowadzania obsługi protokołu RDAP, który ma zastąpić protokół WHOIS, pracownicy APNIC umieścili zrzut SQL bazy danych wykorzystywanej w usłudze Whois w chmurze Google Cloud, nie ograniczając jednak do niej dostępu. Z powodu błędu w ustawieniach zrzut SQL był publicznie dostępny przez trzy miesiące i fakt ten został ujawniony dopiero 4 czerwca, kiedy zwrócił na to uwagę jeden z niezależnych badaczy bezpieczeństwa i powiadomił rejestratora o problemie.
Zrzut SQL zawierał atrybuty „auth” zawierające skróty haseł do zmiany obiektów Konserwatora i Zespołu Reagowania na Incydenty (IRT), a także pewne wrażliwe informacje o kliencie, które nie są wyświetlane w Whois podczas normalnych zapytań (zwykle dodatkowe dane kontaktowe i notatki o użytkowniku). . W przypadku odzyskania hasła atakujący mogli zmienić zawartość pól z parametrami właścicieli bloków adresów IP w Whois. Obiekt Opiekun definiuje osobę odpowiedzialną za modyfikację grupy rekordów połączonych atrybutem „mnt-by”, natomiast obiekt IRT zawiera dane kontaktowe administratorów, którzy odpowiadają na zgłoszenia problemów. Nie podano informacji o zastosowanym algorytmie mieszania haseł, ale w 2017 r. do haszowania używano przestarzałych algorytmów MD5 i CRYPT-PW (8-znakowe hasła ze skrótami oparte na funkcji szyfrowania UNIX).
Po zidentyfikowaniu zdarzenia APNIC zainicjował reset haseł do obiektów w Whois. Po stronie APNIC nie wykryto jeszcze żadnych oznak nielegalnych działań, ale nie ma gwarancji, że dane nie wpadły w ręce atakujących, ponieważ nie ma pełnych logów dostępu do plików w Google Cloud. Podobnie jak po poprzednim incydencie APNIC obiecał przeprowadzić audyt i wprowadzić zmiany w procesach technologicznych, aby zapobiec podobnym wyciekom w przyszłości.
Źródło: opennet.ru