负责分配亚太地区 IP 地址的注册商 APNIC 报告了一起事件,其中包含敏感数据和密码哈希的 Whois SQL 转储公开可用。 值得注意的是,这并不是 APNIC 第一次泄露个人数据——在 2017 年,Whois 数据库已经进入公共领域,也是由于工作人员的疏忽。
在实现对旨在取代 WHOIS 协议的 RDAP 协议的支持过程中,APNIC 员工在 Google Cloud 中放置了 Whois 服务中使用的数据库的 SQL 转储,但并未限制对其的访问。 由于设置错误,SQL 转储公开可用了三个月,这一事实直到 4 月 XNUMX 日才被披露,当时一位独立安全研究人员提请注意这一点并通知注册服务商该问题。
SQL 转储包含“auth”属性,其中包含用于修改维护者和事件响应团队 (IRT) 对象的密码散列,以及一些在正常查询期间不会显示在 Whois 中的有关客户端的敏感信息(通常这些是额外的联系方式和注释关于用户)。 在恢复密码的情况下,攻击者能够使用 Whois 中 IP 地址块所有者的参数更改字段的内容。 Maintainer 对象定义负责更改通过“mnt-by”属性链接的记录组的人员,IRT 对象包含响应问题通知的管理员的详细联系信息。 未提供有关所用密码哈希算法的信息,但在 2017 年,过时的 MD5 和 CRYPT-PW 算法(基于 UNIX crypt 函数的哈希值的 8 字符密码)用于哈希。
发现事件后,APNIC 启动了 Whois 中对象的密码重置。 在 APNIC 方面,尚未发现非法行为的迹象,但无法保证数据不会落入入侵者之手,因为谷歌云中没有完整的文件访问日志。 与上次事件发生后一样,APNIC 承诺将进行审计并更改技术流程,以防止将来发生此类泄漏。
来源: opennet.ru