Suicide
22.06.2021, 20:44
Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, сообщил (https://blog.apnic.net/2021/06/18/whois-data-incident-resolved/) об инциденте, в результате которого в открытый доступ попал SQL-дамп сервиса Whois, включающий конфиденциальные данные и хэши паролей. Примечательно, что это не первая утечка персональных данных в APNIC - в 2017 году база Whois уже попадала (https://www.opennet.ru/opennews/art.shtml?num=47441) в открытый доступ и тоже по недосмотру персонала.
В процессе внедрения поддержки протокола RDAP (https://en.wikipedia.org/wiki/Registration_Data_Access_Protocol), призванного заменить протокол WHOIS, сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud, но не ограничили к нему доступ. Из-за ошибки в настройках на протяжении трёх месяцев SQL-дамп был доступен публично и данный факт вскрылся только 4 июня, когда один из независимых исследователей безопасности обратил на это внимание и уведомил регистратора о проблеме.
В SQL-дампе присутствовали атрибуты "auth", содержащие хэши паролей для изменения объектов Maintainer и Incident Response Team (IRT), а также некоторые конфиденциальные сведения о клиентах, которые не выводятся в Whois при обычных запросах (как правило это дополнительные контактные данные и примечания о пользователе). В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois. Объект Maintainer определяет лицо, ответственного за изменение группы запиcей, связанных через атрибут "mnt-by", а объект IRT содержит контактные данные администраторов, отвечающих на уведомления о проблемах. Информация о применяемом алгортитме хэширования паролей не приводится, но в 2017 году для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt).
После выявления инцидента APNIC инициировал сброс паролей для объектов в Whois. На стороне APNIC признаков нелегитимных действий пока не обнаружено, но гарантий, что данные не попали в руки злоумышленников нет, так как отсутствуют полные логи доступа к файлам в Google Cloud. Как и после прошлого инцидента (https://blog.apnic.net/2017/10/23/whois-maintainer-irt-objects-error-resolved/), APNIC пообещал провести ревизию и внести изменения в технологические процессы, чтобы не допустить подобные утечки в будущем.
22.06.2021
https://www.opennet.ru/opennews/art.shtml?num=55367
В процессе внедрения поддержки протокола RDAP (https://en.wikipedia.org/wiki/Registration_Data_Access_Protocol), призванного заменить протокол WHOIS, сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud, но не ограничили к нему доступ. Из-за ошибки в настройках на протяжении трёх месяцев SQL-дамп был доступен публично и данный факт вскрылся только 4 июня, когда один из независимых исследователей безопасности обратил на это внимание и уведомил регистратора о проблеме.
В SQL-дампе присутствовали атрибуты "auth", содержащие хэши паролей для изменения объектов Maintainer и Incident Response Team (IRT), а также некоторые конфиденциальные сведения о клиентах, которые не выводятся в Whois при обычных запросах (как правило это дополнительные контактные данные и примечания о пользователе). В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois. Объект Maintainer определяет лицо, ответственного за изменение группы запиcей, связанных через атрибут "mnt-by", а объект IRT содержит контактные данные администраторов, отвечающих на уведомления о проблемах. Информация о применяемом алгортитме хэширования паролей не приводится, но в 2017 году для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt).
После выявления инцидента APNIC инициировал сброс паролей для объектов в Whois. На стороне APNIC признаков нелегитимных действий пока не обнаружено, но гарантий, что данные не попали в руки злоумышленников нет, так как отсутствуют полные логи доступа к файлам в Google Cloud. Как и после прошлого инцидента (https://blog.apnic.net/2017/10/23/whois-maintainer-irt-objects-error-resolved/), APNIC пообещал провести ревизию и внести изменения в технологические процессы, чтобы не допустить подобные утечки в будущем.
22.06.2021
https://www.opennet.ru/opennews/art.shtml?num=55367