Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса

Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, по недосмотру опубликовал хэши паролей в составе архива БД для публичного сервиса Whois. Утечка произошла в июне, но была обнаружена только 12 октября командой eBay Red Team, которая уведомила о проблеме APNIC.

В открытом доступе оказалось содержимое атрибута "auth", содержащего хэши паролей к объектам Maintainer и Incident Response Team (IRT). Объект Maintainer определяет лицо, ответственного за изменение группы запиcей, связанных через атрибут "mnt-by". Объект IRT содержит контактные данные администраторов, отвечающих на уведомления о проблемах.

Для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt), позволяющий при наличии должных инструментов подобрать для хэша пароль. В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois.

После выявления инцидента инициирован сброс паролей для всех объектов в Whois. APNIC продолжает изучение логов на предмет компрометации отдельных записей в базе данных при помощи восстановленных из хэшей паролей, но признаков нелегитимных действий пока не обнаружено.