Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

AFRINIC Vrac WHOIS Rapport d'incident de service

Publié le

 

 

AFRINIC a pris connaissance d'un WHOIS problème de confidentialité et de sécurité des données et nous voulions partager les détails de l'incident avec vous.

En cours de traitement d'une demande d'assistance d'un chercheur ayant accès à notre site FTP authentifié qui fournit un volume rédigé WHOIS fichier de vidage de la base de données, nous avons remarqué que ceux qui étaient autorisés pour le gros WHOIS service pourrait accéder à un deuxième fichier contenant des informations telles que des adresses e-mail, des numéros de téléphone et des hachages de mot de passe. Après avoir remarqué ce problème, le fichier a depuis été supprimé du site.

 

Gros Volume WHOIS Service

AFRINIC propose un volume rédigé WHOIS vidage de la base de données via un site FTP authentifié. Ce dump filtre les adresses e-mail, les numéros de téléphone et les hachages de mots de passe et est principalement fourni pour soutenir les opérations Internet, la recherche technique et les statistiques.

L'accès à ce site FTP est accordé selon une procédure qui nécessite de remplir un formulaire et il est examiné par le personnel pour approbation.

 

Affecté WHOIS Fichier de vidage

La publication de ce dossier a débuté en 2011 dans le cadre d'une inter RIR collaboration pour fournir un service global de ressources (GRS).

Au cours de la période, le mécanisme de partage de ces informations a changé, cependant, en raison de processus automatisés, la publication de ce fichier a continué à se produire par erreur.

 

Niveau d'exposition

Les objets de base de données qui étaient publiés contenaient des informations confidentielles telles que des hachages de mots de passe, des e-mails d'organisation et des numéros de téléphone.

Le risque potentiel lié à l'accès aux hachages de mot de passe inclut la possibilité que le format de texte brut puisse être dérivé. Si un acteur malveillant est en mesure de dériver les mots de passe, il peut être en mesure d'apporter des modifications à WHOIS des objets de base de données protégés par un mainteneur spécifique.

L'accès à ces informations remontant à plusieurs années, nous ne sommes pas en mesure de déterminer si ces informations ont été utilisées pour compromettre le contenu du WHOIS base de données.

Actuellement, les données exposées qui sont à risque sont les suivantes :

  1. 12,536 XNUMX adresses e-mail,
  2. 5,272 XNUMX numéros de téléphone, et
  3. 1,633 5 mainteneurs utilisant des hachages de mots de passe CRYPT et/ou MDXNUMX.

Ces données concernent 2,281 XNUMX organisations. 

Le WHOIS base de données prend en charge trois mécanismes de hachage de mot de passe : BCRYPTE, MD5 et CRYPT. Actuellement, seulement BCRYPTE est considéré comme sécurisé contre les attaques par force brute.

Des efforts continus ont été déployés pour améliorer la sécurité de la base de données. Les améliorations comprenaient l'abandon partiel des mécanismes d'authentification CRYPT et MD5 qui ont été effectués en novembre 2017. Par conséquent, un utilisateur ne pouvait plus créer ou mettre à jour son ou ses mainteneurs avec un mot de passe haché à l'aide de ces algorithmes.

De plus, à compter de décembre 2020, nous avons totalement déprécié la prise en charge des mécanismes d'authentification CRYPT et MD5, de sorte que les mots de passe hachés par ces deux mécanismes ne fonctionneraient plus lors de la mise à jour d'autres objets, sauf pour permettre une mise à jour de l'objet du responsable avec un mécanisme d'authentification acceptable. .

Après avoir réalisé cette exposition des données, nous avons pris d'autres mesures pour désactiver complètement la prise en charge des deux mécanismes d'authentification.

Actuellement, au moins 92% des mainteneurs sont protégés en utilisant BCRYPTE les hachages, les certificats PGP et X-509.

Nous souhaitons préciser davantage que ces mots de passe de mainteneur ne doivent pas être confondus avec les mots de passe utilisés pour accéder au portail des membres.

En ce qui concerne les e-mails et les numéros de téléphone de l'organisation, l'accès à ces informations peut conduire à des abus et à d'autres fins indésirables telles que des e-mails et des appels téléphoniques non sollicités autres que de servir l'objectif du WHOIS base de données.

 

Les mesures prises

  • Le fichier contenant des données personnelles a été supprimé et n'est donc plus accessible aux personnes non autorisées.
  • La prise en charge de CRYPT et MD5 a été complètement désactivée.
  • Le commissaire à la protection des données a été dûment informé conformément aux exigences de la Lois sur la protection des données 2017
  • Communication avec les détenteurs de ressources et les utilisateurs FTP authentifiés avec accès au volume WHOIS revendre.

 

Actions supplémentaires

  • Le site FTP sera révisé pour s'assurer que les utilisateurs précédemment autorisés soient à nouveau validés. Les accréditations seront délivrées pour une période de temps limitée.
  • D'autres examens de la sécurité du système sont en cours.

 

Nous nous excusons pour tout inconvénient que cela a pu générer.

 

Eddy Kayihura 

Directeur général

AFRINIC

 

 

 

 

Print Friendly, PDF & Email
Dernière modification le -