Registratorul APNIC, responsabil cu distribuirea adreselor IP în regiunea Asia-Pacific, a raportat un incident în urma căruia un dump SQL al serviciului Whois, inclusiv date confidențiale și hash-uri de parole, a fost pus la dispoziția publicului. Este de remarcat faptul că aceasta nu este prima scurgere de date cu caracter personal în APNIC - în 2017, baza de date Whois a fost deja pusă la dispoziția publicului, tot din cauza supravegherii personalului.
În procesul de introducere a suportului pentru protocolul RDAP, menit să înlocuiască protocolul WHOIS, angajații APNIC au plasat un dump SQL al bazei de date utilizate în serviciul Whois în stocarea în cloud Google Cloud, dar nu au restricționat accesul la acesta. Din cauza unei erori în setări, dump-ul SQL a fost disponibil public timp de trei luni și acest fapt a fost dezvăluit abia pe 4 iunie, când unul dintre cercetătorii independenți în securitate a observat acest lucru și a notificat registratorul despre problemă.
Dump-ul SQL conținea atribute „auth” care conțineau hash-uri de parolă pentru modificarea obiectelor Maintainer și Incident Response Team (IRT), precum și unele informații sensibile despre clienți care nu sunt afișate în Whois în timpul interogărilor normale (de obicei informații de contact suplimentare și note despre utilizator) . În cazul recuperării parolei, atacatorii au putut modifica conținutul câmpurilor cu parametrii proprietarilor blocurilor de adrese IP din Whois. Obiectul Maintainer definește persoana responsabilă pentru modificarea unui grup de înregistrări legate prin atributul „mnt-by”, iar obiectul IRT conține informații de contact pentru administratorii care răspund la notificările de problemă. Nu sunt furnizate informații despre algoritmul de hashing al parolei utilizat, dar în 2017, pentru hashing au fost utilizați algoritmi învechiți MD5 și CRYPT-PW (parole cu 8 caractere cu hashuri bazate pe funcția de criptare UNIX).
După identificarea incidentului, APNIC a inițiat o resetare a parolelor pentru obiectele din Whois. Pe partea APNIC, nu au fost încă detectate semne de acțiuni nelegitime, dar nu există garanții că datele nu au căzut în mâinile atacatorilor, deoarece nu există jurnale complete de acces la fișiere pe Google Cloud. Ca și după incidentul precedent, APNIC a promis că va efectua un audit și va aduce modificări proceselor tehnologice pentru a preveni scurgeri similare pe viitor.
Sursa: opennet.ru