انتشار گذرواژه‌های مربوط به پایگاه‌داده‌ی whois به صورت تصادفی

ثبت‌کننده‌ی اینترنت منطقه‌ای که آدرس‌های آی‌پی را برای منطقه‌ی آسیا و اقیانوسیه مدیریت می‌کند، به‌صورت تصادفی اطلاعات پایگاه داده‌ی Whois، از جمله گذرواژه‌های درهم‌سازی شده را افشاء کرد. این موضوع Whois را مجبور کرد تا تمام گذرواژه‌های اشیاء را در پایگاه داده‌ی خود بازنشانی نماید.
به گفته‌ی مرکز اطلاعات شبکه‌ی آسیا و اقیانوسیه (APNIC) سازمانی که دامنه‌ها را برای منطقه حفظ می‌کند، در ماه ژوئن یک خطای فنی را تجربه کرده و به‌صورت تصادفی اطلاعات را افشاء کرد.
مرکز اطلاعات شبکه‌ی آسیا و اقیانوسیه در روز ۱۲ اکتبر، هنگامی‌که اعلام کرد یک پژوهشگر امنیتی از گروه قرمز ای‌بِی گزارش داده است که داده‌های قابل بارگیری Whois بر روی یک وب‌گاه شخص ثالث منتشر شده است، درمورد این مشکل هشدار داده بود. این شرکت گفت، این مشکل روز دوشنبه حل شد.
سانجایا سانجایا، معاون مدیر کل APNIC، در یک پست وبلاگی برای توضیح این رویداد نوشت: «اگرچه جزئیات گذرواژه‌ها درهم‌سازی شده‌اند، این احتمال وجود دارد که اگر یک عامل مخرب، ابزار مناسبی در اختیار داشته باشد، می‌تواند گذرواژه‌ها را از حالت درهم‌سازی یازیابی نماید.»
داده‌های موردنظر آن‌هایی هستند که اشیای نگهدارنده‌ی Whois و اشیای گروه پاسخ به رویداد (IRT) نامیده می‌شوند. اشیای نگهدارنده بخشی از سوابق خصوصی Whois هستند که شامل اطلاعاتی در مورد اینکه چه کسی برای نگهداری ثبت یک دامنه مجاز است، می‌باشند. اشیای IRT اطلاعات کسانی را که در سازمان، مسئول پاسخ به رویدادهای امنیتی هستند، ذخیره می‌کنند.
APNIC تاکید کرد که این رویداد هیچ ارتباطی به گواهی‌نامه‌های ورود به MyAPNIC برای مدیریت نام دامنه ندارد. مایکل کولبرگ، محقق امنیتی Nominum گفت: «این مسئله بیشتر از اینکه یک خطر امنیتی واقعی باشد، خجالت‌آور است. این اطلاعات مربوط به مالکیت آدرس آی‌پی هستند، نه دامنه‌های واقعی. این موضوع، به‌طور قابل توجهی اتفاق بدی را که می‌توانست رخ دهد را محدود می‌کند.»
داده‌های اشیاء که بخشی از پایگاه داده‌ی APNIC بودند، بخشی از داده‌های قابل بارگیری هستند که در دفتر ثبت اسناد منتشر می‌شوند. سانجایا گفت که گذرواژه‌ها با شیوه‌های رمزنگاری نسبتا ضعیف درهم‌سازی شده‌اند.
درصورتی‌که یک مهاجم قادر به شکستن گذرواژه‌های درهم‌سازی شده بود، می‌توانست داده‌های ثبت آی‌پی را دستکاری کند.
بروس رابرتز، افسر ارشد فناوری DomainTools گفت: «تغییر داده‌ها می‌تواند برخی از سامانه‌های مسدود یا موقعیت جغرافیایی را تحت تاثیر قرار دهد، اما آن‌ها می‌توانند پس از این تغییرات، زمان زیادی را صرف به‌روزرسانی کنند. برای مثال، من می‌توانم کد کشور allocation خود را از FR به DE تغییر دهم و سپس به محتوا / وب‌گاه‌هایی که از این داده‌ها برای مسدود کردن محتوا در FR و نه در DE استفاده می‌کنند، دسترسی پیدا کنم. اما در حالت واقع‌بینانه، احتمال اینکه منجر به هرگونه آسیب واقعی شود، کم است.»
رابرترز گفت: «خطر دوم این است که با هر نقض گذرواژه‌ی دیگر نیز شرایط همین است. بنابراین، از یک گذرواژه‌ی مشابه برای ورود به چندین سرویس استفاده نکنید.»
افشای اطلاعات شدیدتری نیز از داده‌های Whois وجود داشته است. در سال ۲۰۱۵ میلادی، گوگل صدها هزار ثبت‌کننده‌ی دامنه را که اطلاعات خصوصی Whois آن‌ها افشاء شده بود، از خطر سرقت هویت و کلاهبرداری‌های فیشینگ مطلع کرد.
در مورد APNIC، این شرکت این مسئله را با حذف گذرواژه‌ها از feed داده‌های Whois حل کرده و تمامی گذرواژه‌های نگهدارنده‌ها و IRT را در اوایل این ماه بازنشانی کرد.
سانجایا گفت: «در حال حاضر، تمام گذرواژه‌های نگهدارنده‌ها و IRT بازنشانی شده‌اند، بنابراین اگر شما یک نگهدارنده‌ی منابع APNIC هستید، لازم نیست آن‌ها را دوباره تغییر دهید.» او اضافه کرد، اگر گذرواژه‌ی قبلی در جای دیگری استفاده شده است، باید بر روی سامانه‌ی آن‌ها نیز تغییر داده شود.
سانجایا ادامه داد: « APNIC همچنان برای جستجوی هر نشانه‌ای ناشی از این خطا، به تجزیه و تحلیل تاریخچه‌ی خود ادامه می‌دهد. تاکنون، هیچ مدرکی از بی‌نظمی پیدا نشده است. بازنگری رویداد توسط APNIC، برای درک اینکه این رویداد چگونه رخ داده است، درحال انجام بوده و برای جلوگیری از وقوع مجدد این رویداد در طول ارتقای Whois، بهبودهای لازم صورت گرفته‌اند.»

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.