O registrador APNIC, responsável pela distribuição de endereços IP na região Ásia-Pacífico, relatou um incidente que resultou na disponibilização pública de um dump SQL do serviço Whois, incluindo dados confidenciais e hashes de senha. Vale ressaltar que este não é o primeiro vazamento de dados pessoais na APNIC – em 2017, a base de dados Whois já foi disponibilizada publicamente, também por supervisão da equipe.
No processo de introdução do suporte ao protocolo RDAP, projetado para substituir o protocolo WHOIS, os funcionários da APNIC colocaram um dump SQL do banco de dados usado no serviço Whois no armazenamento em nuvem do Google Cloud, mas não restringiram o acesso a ele. Devido a um erro nas configurações, o dump SQL ficou disponível publicamente por três meses e esse fato foi revelado apenas no dia 4 de junho, quando um dos pesquisadores independentes de segurança percebeu isso e notificou o registrador sobre o problema.
O dump SQL continha atributos "auth" contendo hashes de senha para alterar objetos do Mantenedor e da Equipe de Resposta a Incidentes (IRT), bem como algumas informações confidenciais do cliente que não são exibidas no Whois durante consultas normais (geralmente informações de contato adicionais e notas sobre o usuário) . No caso de recuperação de senha, os invasores conseguiram alterar o conteúdo dos campos com os parâmetros dos proprietários dos blocos de endereços IP no Whois. O objeto Mantenedor define a pessoa responsável por modificar um grupo de registros vinculados através do atributo "mnt-by", e o objeto IRT contém informações de contato para administradores que respondem a notificações de problemas. Informações sobre o algoritmo de hash de senha usado não são fornecidas, mas em 2017, algoritmos MD5 e CRYPT-PW desatualizados (senhas de 8 caracteres com hashes baseados na função de criptografia UNIX) foram usados para hash.
Após identificar o incidente, a APNIC iniciou uma redefinição de senhas de objetos no Whois. Do lado da APNIC ainda não foram detectados indícios de ações ilegítimas, mas não há garantias de que os dados não tenham caído nas mãos dos invasores, uma vez que não há registros completos de acesso aos arquivos no Google Cloud. Tal como após o incidente anterior, a APNIC prometeu realizar uma auditoria e fazer alterações nos processos tecnológicos para evitar fugas semelhantes no futuro.
Fonte: opennet.ru