Администратор реестра адресного пространства Азиатско-Тихоокеанского региона нечаянно слил закрытые данные из базы Whois, в том числе хешированные пароли, которые пришлось сбрасывать для затронутых объектов.
Согласно записи в блоге APNIC, утечка, причиной которой оказалась техническая ошибка, произошла в июне.
Об этом инциденте организация узнала лишь 12 октября, получив сообщение исследователя из Red Team компании eBay — тот обнаружил на стороннем сайте приватные данные Whois, выложенные в общий доступ. В минувший понедельник APNIC отрапортовала, что проблема полностью решена и случаев злоупотребления не выявлено. «Хотя пароли хешированы, злоумышленник смог бы их восстановить при наличии правильных инструментов», — отметил автор блог-записи Санджая (Sanjaya), занимающий пост заместителя гендиректора в APNIC.
Слитые данные, о которых идет речь, — это объекты mntner (информация о лице, уполномоченном вносить изменения в объекты Whois) и irt (информация о команде CSIRT, имеющей дело с ИБ-инцидентами во вверенном сегменте Сети). Разъясняя ситуацию, Санджая подчеркнул, что утечка не коснулась идентификаторов к порталу MyAPNIC, который регистранты используют для управления интернет-ресурсами, обновления контактной информации и получения доступа к онлайн-сервисам APNIC.
«Это скорее досадная помеха, а не реальный риск нарушения безопасности, — заявил эксперт Микаэль Куллберг (Mikael Kullberg) из Nominum. — Эти данные касаются владельцев IP-адресов, а не доменов, что в значительной мере ограничивает поле деятельности для злоумышленников».
По словам Санджая, данные объектов Whois были по ошибке включены в фиды, публикуемые APNIC. Вместе с тем попавшие в общий доступ хеши паролей довольно слабы, и их взлом позволит автору атаки манипулировать записями об IP-адресах.
«Изменение этих данных может повлиять на работу некоторых систем блокировки или геолокации, однако обновление этих систем после внесения изменений происходит не сразу, — поясняет технический директор DomainTools Брюс Робертс (Bruce Roberts). — Можно, к примеру, поменять национальный домен .FR на .DE и получить доступ к содержимому или сайтам, использующим эти данные для блокировки контента в домене .FR, но не .DE. Хотя на самом деле шанс причинить реальный ущерб в данном случае минимален».
Ошибка APNIC, по словам Робертса, может иметь еще одно последствие — обычное для всех случаев утечки паролей: автор атаки может получить доступ к другим сайтам и сервисам, если жертва утечки имеет привычку дублировать пароли на разных ресурсах.
История знает случаи, когда утечка данных Whois грозила гораздо более серьезными неприятностями. Достаточно вспомнить, как в 2015 году Google пришлось оповещать сотни тысяч регистрантов доменов о том, что их данные стали достоянием общественности и могут попасть в руки фишеров и других мошенников.