Registratorn APNIC, ansvarig för att tilldela IP-adresser i Asien-Stillahavsområdet, rapporterade en incident där en Whois SQL-dump innehållande känsliga data och lösenordshashar blev allmänt tillgänglig. Det är anmärkningsvärt att detta inte är den första läckan av personuppgifter i APNIC - 2017 var Whois-databasen redan allmän egendom och även på grund av en tillsyn av personalen.
I processen att implementera stöd för RDAP-protokollet, utformat för att ersätta WHOIS-protokollet, placerade APNIC-anställda en SQL-dump av databasen som används i Whois-tjänsten i Google Cloud, men begränsade inte åtkomsten till den. På grund av ett fel i inställningarna var SQL-dumpen offentligt tillgänglig i tre månader, och detta faktum avslöjades först den 4 juni, när en av de oberoende säkerhetsforskarna uppmärksammade detta och meddelade registratorn om problemet.
SQL-dumpen innehöll "auth"-attribut som innehöll lösenordshaschar för att modifiera objekten Maintainer and Incident Response Team (IRT), samt viss känslig information om klienter som inte visas i Whois under normala frågor (vanligtvis är dessa ytterligare kontaktuppgifter och anteckningar) om användaren). I fallet med lösenordsåterställning kunde angriparna ändra innehållet i fälten med parametrarna för ägarna av block av IP-adresser i Whois. Maintainer-objektet definierar personen som är ansvarig för att ändra gruppen av poster som är länkade via attributet "mnt-by", och IRT-objektet innehåller kontaktuppgifterna för administratörer som svarar på problemmeddelanden. Information om lösenordshashningsalgoritmen som används tillhandahålls inte, men 2017 användes de föråldrade MD5- och CRYPT-PW-algoritmerna (8-teckenlösenord med hash baserade på UNIX-krypteringsfunktionen) för hash.
Efter upptäckten av incidenten initierade APNIC en återställning av lösenord för objekt i Whois. På APNIC-sidan har tecken på olagliga handlingar ännu inte hittats, men det finns inga garantier för att data inte hamnat i händerna på inkräktare, eftersom det inte finns några fullständiga åtkomstloggar till filer i Google Cloud. Liksom efter den senaste incidenten lovade APNIC att genomföra en revision och göra förändringar i tekniska processer för att förhindra sådana läckor i framtiden.
Källa: opennet.ru