Registrátor APNIC, zodpovedný za distribúciu IP adries v ázijsko-pacifickom regióne, ohlásil incident, v dôsledku ktorého bol verejne dostupný výpis SQL služby Whois vrátane dôverných údajov a hesiel. Pozoruhodné je, že nejde o prvý únik osobných údajov v APNIC – v roku 2017 už bola databáza Whois sprístupnená verejnosti, a to aj z dôvodu dozoru zamestnancov.
V procese zavádzania podpory protokolu RDAP, ktorý má nahradiť protokol WHOIS, zamestnanci APNIC umiestnili SQL výpis databázy používanej v službe Whois do cloudového úložiska Google Cloud, ale neobmedzili k nemu prístup. Kvôli chybe v nastaveniach bol SQL dump verejne dostupný tri mesiace a táto skutočnosť bola odhalená až 4. júna, kedy si to všimol jeden z nezávislých bezpečnostných výskumníkov a na problém upozornil registrátora.
Výpis SQL obsahoval atribúty „auth“ obsahujúce hodnoty hash hesiel na zmenu objektov Maintainer a Incident Response Team (IRT), ako aj niektoré citlivé informácie o zákazníkoch, ktoré sa nezobrazujú vo Whois počas bežných dopytov (zvyčajne dodatočné kontaktné informácie a poznámky o používateľovi) . V prípade obnovy hesla mohli útočníci zmeniť obsah polí s parametrami vlastníkov blokov IP adries vo Whois. Objekt Maintainer definuje osobu zodpovednú za úpravu skupiny záznamov prepojených prostredníctvom atribútu „mnt-by“ a objekt IRT obsahuje kontaktné informácie pre administrátorov, ktorí reagujú na upozornenia na problém. Informácie o použitom algoritme hašovania hesiel nie sú uvedené, ale v roku 2017 boli na hašovanie použité zastarané algoritmy MD5 a CRYPT-PW (8-znakové heslá s hašovaním založené na funkcii UNIX crypt).
Po identifikácii incidentu APNIC inicioval resetovanie hesiel pre objekty vo Whois. Na strane APNIC sa zatiaľ nezistili žiadne známky nezákonných akcií, ale neexistujú žiadne záruky, že sa údaje nedostali do rúk útočníkov, pretože v službe Google Cloud neexistujú žiadne úplné protokoly o prístupe k súborom. Rovnako ako po predchádzajúcom incidente, APNIC prisľúbil vykonať audit a vykonať zmeny v technologických procesoch, aby sa podobným únikom v budúcnosti zabránilo.
Zdroj: opennet.ru