Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, сообщил об инциденте, в результате которого в открытый доступ попал SQL-дамп сервиса Whois, включающий конфиденциальные данные и хэши паролей. Примечательно, что это не первая утечка персональных данных в APNIC – в 2017 году база Whois по уже попадала в открытый доступ и тоже по недосмотру персонала.
В процессе внедрения поддержки протокола RDAP, призванного заменить протокол WHOIS, сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud, но не ограничили к нему доступ. Из-за ошибки в настройках на протяжении трёх месяцев SQL-дамп был доступен публично и данный факт вскрылся только 4 июня, когда один из независимых исследователей безопасности обратил на это внимание и уведомил регистратора о проблеме.
В SQL-дампе присутствовали атрибуты “auth”, содержащие хэши паролей для изменения объектов Maintainer и Incident Response Team (IRT), а также некоторые конфиденциальные сведения о клиентах, которые не выводятся в Whois при обычных запросах (как правило это дополнительные контактные данные и примечания о пользователе). В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois. Объект Maintainer определяет лицо, ответственного за изменение группы запиcей, связанных через атрибут “mnt-by”, а объект IRT содержит контактные данные администраторов, отвечающих на уведомления о проблемах. Информация о применяемом алгортитме хэширования паролей не приводится, но в 2017 году для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt).
После выявления инцидента APNIC инициировал сброс паролей для объектов в Whois. На стороне APNIC признаков нелегитимных действий пока не обнаружено, но гарантий, что данные не попали в руки злоумышленников нет, так как отсутствуют полные логи доступа к файлам в Google Cloud. Как и после прошлого инцидента, APNIC пообещал провести ревизию и внести изменения в технологические процессы, чтобы не допустить подобные утечки в будущем.