負責亞太地區 IP 位址分配的 APNIC 註冊商報告了一起事件,該事件導致 Whois 服務的 SQL 轉儲(包括機密資料和密碼雜湊值)被公開。 值得注意的是,這並不是 APNIC 第一次洩露個人資料——2017 年,由於工作人員的監督,Whois 資料庫就已經公開。
在引入旨在取代 WHOIS 協定的 RDAP 協定支援的過程中,APNIC 員工將 Whois 服務中使用的資料庫的 SQL 轉儲放置在 Google Cloud 雲端儲存中,但沒有限制對其的存取。 由於設定錯誤,SQL 轉儲公開可用了三個月,這一事實直到 4 月 XNUMX 日才被披露,當時一位獨立安全研究人員注意到了這一點,並將問題通知了註冊商。
SQL 轉儲包含「auth」屬性,其中包含用於更改維護者和事件回應團隊(IRT) 物件的密碼雜湊,以及正常查詢期間Whois 中不會顯示的一些敏感客戶資訊(通常是有關使用者的附加聯絡資訊和註釋) 。 在恢復密碼的情況下,攻擊者能夠使用 Whois 中 IP 位址區塊擁有者的參數來變更欄位內容。 Maintenanceer 物件定義負責修改透過「mnt-by」屬性連結的一組記錄的人員,IRT 物件包含回應問題通知的管理員的聯絡資訊。 沒有提供有關所使用的密碼雜湊演算法的信息,但在 2017 年,使用過時的 MD5 和 CRYPT-PW 演算法(基於 UNIX crypt 函數進行雜湊的 8 字元密碼)進行雜湊。
發現事件後,APNIC 啟動了 Whois 中物件的密碼重設。 在 APNIC 方面,尚未偵測到非法行為的跡象,但不能保證資料不會落入攻擊者手中,因為 Google Cloud 上沒有完整的文件存取日誌。 與上次事件發生後一樣,APNIC 承諾將進行審核並更改技術流程,以防止未來發生類似的洩漏事件。
來源: opennet.ru