Nhà đăng ký APNIC, chịu trách nhiệm phân phối địa chỉ IP ở khu vực Châu Á-Thái Bình Dương, đã báo cáo một sự cố do kết quả của việc kết xuất SQL của dịch vụ Whois, bao gồm dữ liệu bí mật và băm mật khẩu, được công khai. Đáng chú ý rằng đây không phải là vụ rò rỉ dữ liệu cá nhân đầu tiên trong APNIC - vào năm 2017, cơ sở dữ liệu Whois đã được cung cấp công khai, cũng do sự giám sát của nhân viên.
Trong quá trình giới thiệu hỗ trợ cho giao thức RDAP, được thiết kế để thay thế giao thức WHOIS, nhân viên APNIC đã đặt kết xuất SQL của cơ sở dữ liệu được sử dụng trong dịch vụ Whois trong bộ lưu trữ đám mây của Google Cloud nhưng không hạn chế quyền truy cập vào nó. Do lỗi trong cài đặt, kết xuất SQL đã được công khai trong ba tháng và sự thật này chỉ được tiết lộ vào ngày 4 tháng XNUMX, khi một trong những nhà nghiên cứu bảo mật độc lập nhận thấy điều này và thông báo cho nhà đăng ký về vấn đề.
Kết xuất SQL chứa các thuộc tính "auth" chứa hàm băm mật khẩu để thay đổi đối tượng Người bảo trì và Nhóm ứng phó sự cố (IRT), cũng như một số thông tin khách hàng nhạy cảm không được hiển thị trong Whois trong các truy vấn thông thường (thường là thông tin liên hệ bổ sung và ghi chú về người dùng) . Trong trường hợp khôi phục mật khẩu, kẻ tấn công có thể thay đổi nội dung của các trường bằng tham số của chủ sở hữu khối địa chỉ IP trong Whois. Đối tượng Người bảo trì xác định người chịu trách nhiệm sửa đổi một nhóm bản ghi được liên kết thông qua thuộc tính "mnt-by" và đối tượng IRT chứa thông tin liên hệ của các quản trị viên phản hồi thông báo sự cố. Thông tin về thuật toán băm mật khẩu được sử dụng không được cung cấp, nhưng vào năm 2017, thuật toán MD5 và CRYPT-PW lỗi thời (mật khẩu 8 ký tự có hàm băm dựa trên hàm mã hóa UNIX) đã được sử dụng để băm.
Sau khi xác định được sự cố, APNIC đã tiến hành đặt lại mật khẩu cho các đối tượng trong Whois. Về phía APNIC, vẫn chưa phát hiện thấy dấu hiệu nào của hành động bất hợp pháp, nhưng không có gì đảm bảo rằng dữ liệu không rơi vào tay kẻ tấn công vì không có nhật ký đầy đủ về quyền truy cập vào các tệp trên Google Cloud. Giống như sự cố trước đó, APNIC hứa sẽ tiến hành kiểm toán và thực hiện các thay đổi đối với quy trình công nghệ để ngăn chặn rò rỉ tương tự trong tương lai.
Nguồn: opennet.ru