The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC

22.06.2021 08:48

Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, сообщил об инциденте, в результате которого в открытый доступ попал SQL-дамп сервиса Whois, включающий конфиденциальные данные и хэши паролей. Примечательно, что это не первая утечка персональных данных в APNIC - в 2017 году база Whois уже попадала в открытый доступ и тоже по недосмотру персонала.

В процессе внедрения поддержки протокола RDAP, призванного заменить протокол WHOIS, сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud, но не ограничили к нему доступ. Из-за ошибки в настройках на протяжении трёх месяцев SQL-дамп был доступен публично и данный факт вскрылся только 4 июня, когда один из независимых исследователей безопасности обратил на это внимание и уведомил регистратора о проблеме.

В SQL-дампе присутствовали атрибуты "auth", содержащие хэши паролей для изменения объектов Maintainer и Incident Response Team (IRT), а также некоторые конфиденциальные сведения о клиентах, которые не выводятся в Whois при обычных запросах (как правило это дополнительные контактные данные и примечания о пользователе). В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois. Объект Maintainer определяет лицо, ответственного за изменение группы запиcей, связанных через атрибут "mnt-by", а объект IRT содержит контактные данные администраторов, отвечающих на уведомления о проблемах. Информация о применяемом алгортитме хэширования паролей не приводится, но в 2017 году для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt).

После выявления инцидента APNIC инициировал сброс паролей для объектов в Whois. На стороне APNIC признаков нелегитимных действий пока не обнаружено, но гарантий, что данные не попали в руки злоумышленников нет, так как отсутствуют полные логи доступа к файлам в Google Cloud. Как и после прошлого инцидента, APNIC пообещал провести ревизию и внести изменения в технологические процессы, чтобы не допустить подобные утечки в будущем.

  1. Главная ссылка к новости (https://blog.apnic.net/2021/06...)
  2. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
  3. OpenNews: RIPE лишил статуса LIR двух российских регистраторов
  4. OpenNews: RIPE выделил последний свободный блок IPv4
  5. OpenNews: Организация IANA приступила к распределению последних блоков адресов IPv4
  6. OpenNews: Почти половина трафика на корневые DNS-серверы вызвана активностью Chromium
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55367-apnic
Ключевые слова: apnic, whois
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, OnTheEdge (ok), 09:00, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    > сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud, но не ограничили к нему доступ

    сурьозный подход

     
     
  • 2.5, КО (?), 09:04, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Небось студенты за авось там работают.
     
     
  • 3.22, YetAnotherOnanym (ok), 10:37, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +31 +/
    Чтобы быть кретином, верующим в облака, не обязательно быть студентом.
     
     
  • 4.59, kissmyass (?), 23:24, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    но откуда-то же они все лезут, только и слышишь как то там то там увеличивается капитализация и вливаются все новые бабки в облака
     
     
  • 5.64, YetAnotherOnanym (ok), 11:02, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это действительно удобно, быстро и обходится дешевле, чем своя инфраструктура. Всего-то что надо - закрыть глаза и поверить в ToS.
     
     
  • 6.77, kissmyass (?), 00:39, 25/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что это действительно удобно, быстро и обходится дешевле, чем своя инфраструктура.
    > Всего-то что надо - закрыть глаза и поверить в ToS.

    это некорректная информация, удобство очень спорный момент и зависит от ISP, быстро - тоже спорно, но соглашусь если сравнивать с dedicated, с VPS нет разницы, и облака ни разу не дещевле - это 100%, примеры я раньше публиковал на опеннет

     
  • 4.61, Аноним (61), 08:53, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно подумать, без облаков мало кретинов, не ограничивающих доступ к приватным данным.

    Разруха не в клозетах, а в головах.

     
     
  • 5.65, YetAnotherOnanym (ok), 11:16, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С облаками у кретина возможностей больше. Всё-таки насколько раз клацнуть мышкой - это совсем не то же самое, что выбрать подходящее железо, обеспечить бесперебойное питание, взгромоздить ОС, развернуть на ней необходимый софт и сконфигурировать его. Хотя да, оставить дефолтные пароли и слушать на 0.0.0.0 это не мешает (помнится, тут в каментах какое-то тело с пеной у рта доказывало, что софт, у которого по дефолту слушается 127.0.0.1 - это тыква из коробки и он изначально не нужен). Но всё-таки какой-то процент кретинов отсеивается.
     
  • 2.6, Жироватт (ok), 09:13, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Угу. Сириоус бизнесс
     
     
  • 3.13, t28 (?), 09:35, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу. Сириоус бизнесс

    Угу. Вести NIC — так себе бизнес. На золотые унитазы на нём не заработаешь.

     
     
  • 4.17, ыы (?), 09:49, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    При 7700 членов в 56 странах - 88 человек секретариата... так что... золотые унитазы они там просто выбрасывают потому что запачкался...
     

  • 1.3, Аноним (-), 09:02, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Давайте сосредоточим контроль за адресным пространством в одних руках, что может пойти не так?
     
     
  • 2.12, Аноним (-), 09:28, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    даже одни такие лучше, чем сотен икспертов опеннет
     
     
  • 3.15, ыы (?), 09:39, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Сотня экспертов опеннет не выкладывала в открытый доступ дамп SQl от регистратора whois.
    Так что сотня экспертов опеннет лучше.
     
     
  • 4.26, YetAnotherOnanym (ok), 10:48, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Догадываюсь, что косяки и фэйлы икспертов опеннета в перерасчёте на масштабы их ответственности не менее эпичны. К тому же установлено, что свидетелей секты облаков на опеннете тоже преизобильно.
     
     
  • 5.27, ыы (?), 11:07, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае пересчет на масштаб не работает.
    Есть инструкция- не использовать сторонние ресурсы. И масштаб ту не при чем.
    Либо такой инструкции нет - и вина тут на руководстве а не на дежурном админе...
     
  • 4.60, kissmyass (?), 23:26, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это потому что у сотни опеннета нихрена нет, было бы что выкладывать уже давно выложили бы

    Шигорина надо спросить занес он флешку в фсб уже, или еще нет

     
     
  • 5.69, Аноним (-), 18:46, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Флешка вчерашний день
    Выделенный удаленный доступ -
    выглядит модерново
     
  • 3.36, Брат Анон (ok), 12:20, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как главный ыксперт по сайту: да ты хоть знаешь на каком я диване сижу?!
     
     
  • 4.70, Аноним (-), 18:47, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бабушкином?
     
  • 2.34, PnD (??), 12:18, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В четырёх же RIR. RIPE ("репа") наша, европейская. ARIN (пиндосы и все остальные америки). APNIC (азиаты и тихоокеанский бассейн). Ну и африканцы.

    "Репа" (на мой вкус) наиболее "причёсанная". Но при этом лихо распилила (на пару с ARIN, но те ещё масштабнее /8 раскидывали) IPv4 и последние лет 15 педалит IPv6.

    В Африке зато этих IPv4 хоть попой жуй. Я уже́ лет 10 как предлагаю замутить бизнес по перепродаже LIR из AFRINIC, но чё-то как-то пока всё не. Расисты, наверное. Да.

     

  • 1.8, ыы (?), 09:17, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud

    Зачем это вообще понадобилось делать? Дефицит дискового пространства? Нет собственного... ах.дда.. ftp же выпилили...  но все равно, был план, были согласования, были подписи начальства одобрившего эту процедуру... или это тоже все выпилили?

     
     
  • 2.11, Аноним (11), 09:23, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так решил совет старейшин
     
  • 2.33, Аноним (33), 12:10, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На 26.04.1986 тоже был план с согласованиями и за многими подписями, однако, что-то пошло не так. Человеческий фактор, он такой.
     
     
  • 3.51, Michael Shigorin (ok), 16:13, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Человеческий фактор, он такой.

    Меня тут как-то примерно на такое же утверждение про 26.04.1986 ткнули носом в воспоминания Дятлова (а затем и accidont.ru почитал внимательно) -- что и Вам предлагаю, чтоб не повторять ложь за преступниками вроде академона Александрова, земля ему отработкой.

    Этот недоумок же был в курсе аналогичного случая на ЛАЭС в 1975 году.  И замёл всё под коврик.

     
     
  • 4.52, Аноним (-), 16:42, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    в кои-то веки - гляди-ка, истину глаголет! Ай маладэц.

    Я сам изучал этот вопрос, консультируясь с реальной коммандой, которая в 2000х работала на таких (и не на таких тоже) реакторах - и вот, подтверждаю. За концевики было известно.

     
  • 4.62, Аноним (61), 09:01, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, это культурный код какой-то - когда при разборе полетов ставится задача не столько выяснить первопричину и предотвратить повторные инциденты, сколько найти и наказать виновного. Оттуда и поговорка про стрелочника, и вот такие вот ситуации.

    Причем везде встречается, но в наших широтах вообще скорее правило, чем исключение. Уверен, что какой-нибудь ру-центр вообще бы заявил, что никакой утечки не было, расходитесь, не на что здесь смотреть.

     
  • 3.58, Ordu (ok), 22:52, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Человеческий фактор, он такой.

    Не. Сваливать на человеческий фактор -- совершенно непродуктивный подход. Это явно системная проблема. А с учётом того, что такое не впервой и подавно системная. Её надо решать на организационном уровне, либо меняя практики безопасности, либо реструктурируя всю систему. Искать козлов отпущения бессмысленно: ну даже если найдёшь виноватого, ну заменишь её, и что дальше будет? Через полгода, притеревшись к системе, он поймёт что его предшественник совершил ровно одну глупость: попался на том, что сделал. Он поймёт, что надо делать то же самое, но чуть более аккуратно, потому что не заливая бекапы на внешние серваки невозможно выполнять свои должностные обязанности. И в результате ничего не изменится.

    Человек подстраивается под организацию, а не организация под человека. Могут быть индвидуальные вариации в том, как разные люди подстраиваются, но мой опыт работы в разных организациях подсказывает, что вариации довольно небольшие: организацию шатать довольно сложно, мало у кого достаточно стали в хребте. Это, конечно, зависит от организации, но чем больше организация, тем больше там иерархии, и тем больше простора для "у всех всё хорошо, только у тебя проблемы возникают", для "мы всегда делали так", и для прочих этих отговорок, которые позволяют организации увернутся от серьёзных и болезненных изменений.

     
     
  • 4.78, Michael Shigorin (ok), 17:04, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Человек подстраивается под организацию, а не организация под человека.

    Зависит.

    > организацию шатать довольно сложно

    Если Ваш опыт сводился к "шатанию" (даже конструктивному), то мой -- к ведЕнию; и выбору того, где вообще усилия-то прикладывать.  И он явно другой получился.

    Если совсем в двух словах, то попасть молодым в низы чего-нить крупного -- значит с большой вероятностью успеть обтесаться "под организацию" (и в целом под такое мировоззрение, что "я человек маленький, от меня ничего не зависит, как скажут"; возможно, не растеряв при этом весь запал изменяторства) и выдвигаться на что-либо определяющие должности уже разве что в процессе карьерного роста со всеми его особенностями.

    А если молодым заниматься тем, в чём видишь смысл, с теми, кому доверяешь (а-ля стартап) -- то есть шансы к среднему возрасту набраться опыта и понимания хотя бы в какой-то сфере достаточно, чтобы в очередной конторе, когда она "поймает ветер", просто масштаб результата этих самых усилий, которые ты в любом случае прикладываешь, выходил уже иной.

    Потому сам предпочитаю не за баблом или там модностью гоняться, а за смыслом и пользой -- и других так зову. :-)

     
     
  • 5.79, Ordu (ok), 20:00, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя несколько в сторону унесло. Вопрос не в том, насколько ты одарён в вопросах изменения организаций силой воли. Вопрос в том, насколько это доступно среднестатистическому сотруднику организации. И можно ли винить среднестатистического сотрудника за то, что он приспособился к организации, вместо того, чтобы изменять её?
     

  • 1.9, Аноним (9), 09:18, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "это не первая утечка персональных данных в APNIC - в 2017 году база Whois по уже попадала в открытый доступ и тоже по недосмотру персонала."
    "Как и после прошлого инцидента, APNIC пообещал провести ревизию и внести изменения в технологические процессы, чтобы не допустить подобные утечки в будущем."

    Ну, да! Никогда такого не было и вот опять!
    Кароч, Deeply Sorry https://www.youtube.com/watch?v=N1seyAkxO1s

     
     
  • 2.16, ryoken (ok), 09:42, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Персонал = Овощи.
     
     
  • 3.19, Аноним (19), 09:59, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А босс = фрукт?
     
     
  • 4.20, ryoken (ok), 10:03, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А босс = фрукт?

    Тот ещё :D

     
     
  • 5.25, InuYasha (??), 10:42, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "ну, уж вы-то - точно не фрукт, ведь даже у яблока есть сердцевина")
     
     
  • 6.72, Аноним (-), 18:49, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бывает даже гнилая
     
     
  • 7.74, InuYasha (??), 10:20, 24/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эх, аноны без гулага, похоже, даже не узнали, откуда цитата (
     
  • 4.42, Аноним (42), 13:06, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пользователи ягодки.
     
  • 4.71, Аноним (-), 18:48, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Перец!
     

  • 1.24, InuYasha (??), 10:40, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ЧСС, они не одни такие гуглолюбы. Очень много контор хранят чувствительные данные в гугл-шитах. "Зачем нам Эксель". Даже списки серверов, даже сотрудников.
     
     
  • 2.28, ryoken (ok), 11:11, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Даже списки серверов, даже сотрудников.

    Тут вообще текста или там .CSV по уши.

     
     
  • 3.37, Брат Анон (ok), 12:22, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы так это написали, как будто в CSV есть что-то плохое.
     
     
  • 4.44, ryoken (ok), 13:16, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы так это написали, как будто в CSV есть что-то плохое.

    неа, наоборот только хорошее :D

     

  • 1.31, Аноним (33), 12:02, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в облачном хранилище Google Cloud, но не ограничили к нему доступ

    Достаточно разместить в облачном хранилище, ограничивать доступ не обязательно.

     
  • 1.35, Аноним (35), 12:19, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну даже если хочешь через облако поделиться чувствительными данными, ну зашифруй ты их хоть симметрично через gpg, хоспаде

    Детский сад

     
     
  • 2.38, Брат Анон (ok), 12:24, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вы много знаете детсадов, размещающих свои данные в гугловском облаке?
    Не надо оскорблять колыбель всех дарагих расеян.
     
     
  • 3.43, Аноним (42), 13:07, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С чего вы взяли что детские сады только в России?
     
  • 3.54, Аноним (54), 19:02, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы много знаете детсадов, размещающих свои данные в гугловском облаке?
    > Не надо оскорблять колыбель всех дарагих расеян.

    А с чего вы взяли что сейчас детские сады ничего в облаках не размещают?!

     
  • 3.66, Аноним (66), 12:28, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Про детсады не знаю, видел куда лучше. Когда ходил вакцинироваться в родную поликлинику, в кабинете, где делают прививки, стояло два компьютера, на которых велся параллельный учет. На одном ЕГИСЗ, а на другом - расшаренный гугл-документ, с кучей анонимных панд и прочих белочек (то есть доступ тупо по урлу). А потом ещё удивлялись утечкам персональных данных о вакцинированных.
     

  • 1.53, пох. (?), 16:55, 22/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Whois on duty today?
     
     
  • 2.67, InuYasha (??), 12:53, 23/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Whois on duty today?

    Sorry, I'm on duty, mr. Freeman.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру