Реєстратор APNIC, який відповідає за розподіл IP-адрес в Азіатсько-Тихоокеанському регіоні, повідомив про інцидент, в результаті якого у відкритий доступ потрапив SQL-дамп сервісу Whois, що включає конфіденційні дані та хеші паролів. Примітно, що це не перший витік персональних даних в APNIC — у 2017 році база Whois вже потрапляла у відкритий доступ і також через недогляд персоналу.
У процесі впровадження підтримки протоколу RDAP, покликаного замінити протокол WHOIS, співробітники APNIC розмістили SQL-дамп бази, яка використовується у сервісі Whois, у хмарному сховищі Google Cloud, але не обмежили доступ до нього. Через помилку в налаштуваннях протягом трьох місяців SQL-дамп був доступний публічно і цей факт розкрився лише 4 червня, коли один із незалежних дослідників безпеки звернув на це увагу і повідомив реєстратора про проблему.
У SQL-дампі були атрибути «auth», що містять хеші паролів для зміни об'єктів Maintainer і Incident Response Team (IRT), а також деякі конфіденційні відомості про клієнтів, які не виводяться в Whois при звичайних запитах (як правило, це додаткові контактні дані та примітки про користувача). У разі відновлення паролів атакуючі мали можливість змінити вміст полів з параметрами власників блоків IP-адрес у Whois. Об'єкт Maintainer визначає особу, яка відповідає за зміну групи записів, пов'язаних через атрибут «mnt-by», а об'єкт IRT містить контактні дані адміністраторів, що відповідають на повідомлення про проблеми. Інформація про алгортит хешування паролів не наводиться, але в 2017 році для хешування використовувалися застарілі алгоритми MD5 і CRYPT-PW (8-символьні паролі з хешами на базі функції UNIX crypt).
Після виявлення інциденту APNIC ініціював скидання паролів для об'єктів у Whois. На стороні APNIC ознак нелегітимних дій поки не виявлено, але гарантій, що дані не потрапили до рук зловмисників, немає повних логів доступу до файлів у Google Cloud. Як і після минулого інциденту, APNIC пообіцяв провести ревізію та внести зміни до технологічних процесів, щоб не допустити подібних витоків у майбутньому.
Джерело: opennet.ru