Feed - AFRINIC - Registro Regional da Internet para a África

AFRINIC Granel WHOIS Relatório de Incidente de Serviço

: Publicado em - 02 de Julho de 2021; Última modificação em - 02 de Julho de 2021

AFRINIC tomou conhecimento de um WHOIS privacidade de dados e questão de segurança e gostaríamos de compartilhar os detalhes do incidente com você.

No processo de tratamento de uma solicitação de apoio de um pesquisador com acesso ao nosso site FTP autenticado que fornece uma edição em massa WHOIS arquivo de despejo de banco de dados, notamos que aqueles que foram autorizados para o WHOIS serviço pode acessar um segundo arquivo que contém informações como endereços de e-mail, números de telefone e hashes de senha. Ao perceber esse problema, o arquivo já foi removido do site.

Bulk WHOIS Serviço

AFRINIC oferece um volume redigido WHOIS despejo de banco de dados por meio de um site FTP autenticado. Esse dump filtra endereços de e-mail, números de telefone e hashes de senha e é fornecido principalmente para dar suporte às operações da Internet, pesquisas técnicas e estatísticas.

O acesso a este site FTP é concedido seguindo um procedimento que requer o preenchimento de um formulário e é revisado pela equipe para aprovação.

Afetado WHOIS Despejar arquivo

A publicação deste arquivo começou em 2011 como parte de um inter RIR colaboração para fornecer um serviço de recurso global (GRS).

Ao longo do período, o mecanismo de compartilhamento dessas informações mudou, porém, devido a processos automatizados, a publicação desse arquivo continuou a ocorrer por engano.

Nível de Exposição

Os objetos de banco de dados que estavam sendo publicados continham informações confidenciais, como hashes de senha, e-mails da organização e números de telefone.

O risco potencial de acessar hashes de senha inclui a possibilidade de que o formato de texto simples possa ser derivado. Se um ator de ameaça conseguir derivar as senhas, ele poderá fazer modificações em WHOIS objetos de banco de dados protegidos por um mantenedor específico.

Como o acesso a essas informações remonta a vários anos, não estamos em posição de determinar se essas informações foram usadas para comprometer o conteúdo do WHOIS base de dados.

Atualmente, os dados expostos que estão em risco são os seguintes:

12,536 endereços de e-mail,
5,272 números de telefone e
1,633 mantenedores usando hashes de senha CRYPT e / ou MD5.

Esses dados referem-se a 2,281 organizações.

O WHOIS banco de dados suporta três mecanismos de hash de senha: BCRYPT, MD5 e CRYPT. Atualmente, apenas BCRYPT é considerado seguro contra ataques de força bruta.

Tem havido esforços contínuos para melhorar a segurança do banco de dados. As melhorias incluíram a suspensão parcial dos mecanismos de autenticação CRYPT e MD5 que foram feitos em novembro de 2017. Consequentemente, um usuário não poderia mais criar ou atualizar seu (s) mantenedor (es) com um hash de senha usando esses algoritmos.

Além disso, a partir de dezembro de 2020, suspendemos totalmente o suporte para mecanismos de autenticação CRYPT e MD5, de modo que as senhas que são hash por esses dois mecanismos não funcionem mais na atualização de outros objetos, exceto para permitir uma atualização do objeto mantenedor com um mecanismo de autenticação aceitável .

Depois de perceber essa exposição de dados, tomamos medidas adicionais para desabilitar completamente o suporte para os dois mecanismos de autenticação.

Atualmente, pelo menos 92% dos mantenedores estão protegidos usando BCRYPT hashes, PGP e certificados X-509.

Desejamos esclarecer ainda que essas senhas de mantenedor não devem ser confundidas com as senhas usadas para acessar o portal de membros.

Com relação aos e-mails e números de telefone da organização, o acesso a tais informações pode levar a abusos e outros fins indesejáveis, como e-mails não solicitados e chamadas telefônicas que não atendam ao objetivo do WHOIS base de dados.

Ações tomadas

O arquivo contendo dados pessoais foi removido e, portanto, não está mais acessível a pessoas não autorizadas.
O suporte para CRYPT e MD5 foi completamente desativado.
O Comissário de Proteção de Dados foi devidamente notificado de acordo com os requisitos do Lei de proteção de dados 2017
Comunicação para detentores de recursos e usuários de FTP autenticados com acesso a massa WHOIS dados.

Ações futuras

O site FTP será revisado para garantir que os usuários autorizados anteriormente sejam validados novamente. As credenciais serão emitidas por um período limitado de tempo.
Outras análises de segurança do sistema estão em andamento.

Pedimos desculpas por qualquer inconveniente que isso possa ter causado.

Eddy Kayihura

Gerente Geral

AFRINIC

WHOIS

Autenticação de 2 fatores para MyAFRINIC

: Publicado em - 24 de Junho de 2021; Última modificação em - 06 de Julho de 2021

A autenticação de dois fatores (2FA), às vezes chamada de verificação em duas etapas ou autenticação de fator duplo, é um processo de segurança no qual os usuários fornecem dois fatores de autenticação diferentes para se auto-verificarem. Esse processo ajuda a proteger melhor as credenciais e os recursos do usuário.

Escolha MyAFRINIC usuários do portal, os dois fatores de autenticação são:

A senha da conta
Um código de segurança de seis dígitos de uso único.

O código é gerado por um autenticador de senha única baseada em tempo (TOTP) de terceiros, definido como um padrão aberto em RFC6238. Qualquer aplicativo que suporte TOTP pode ser usado para autenticação de dois fatores.

Implementação 2FA para o MyAFRINIC portal é um recurso de segurança opcional, mas altamente recomendado, pois adiciona uma camada de segurança ao processo de autenticação. Se ativado, você deverá inserir sua senha e o código de segurança de seis dígitos; gerado por um autenticador TOTP em um dispositivo que você controla, normalmente um smartphone; sempre que você fizer login.

Pré-requisito para autenticação de dois fatores.

Você deve primeiro instalar um aplicativo TOTP em seu smartphone ou tablet antes de habilitar a autenticação de dois fatores em MyAFRINIC. Alguns exemplos são:

Você pode escolher seu próprio autenticador de escolha, além dos listados acima.

Como habilito a autenticação de dois fatores?

Ativar 2FA é um procedimento direto; as etapas a seguir devem ativá-lo:

Logar em Myafrinic Conta
Clique em “Minha conta” e selecione Segurança
Selecione o botão "Autenticação de 2 fatores".
Selecione configuração. Ao configurar o aplicativo autenticador, você pode:
- Leia o código QR exibido ou
- Insira a “Chave secreta” manualmente.
Use os seis dígitos do aplicativo para concluir a configuração.
- Se o seu código de segurança de seis dígitos não corresponder, verifique se o seu telefone tem uma configuração automática de fuso horário selecionada.
Um guia de demonstração pode ser encontrado aqui.

Depois que 2FA estiver habilitado, você será solicitado a fornecer ambos os fatores de autenticação sempre que fizer login e acessar informações do Myafrinic. Será necessário inserir primeiro seu NIC-HDL e senha e, em seguida, "inserir o código de segurança gerado pelo aplicativo autenticador".

Na maioria dos casos, apenas iniciar o aplicativo autenticador irá gerar um novo código. Você deve inserir este código para obter acesso à sua conta. Na maioria dos aplicativos de autenticador, o código gerado automaticamente é válido por apenas 30 segundos. Você deve usar o código nesse período; caso contrário, ele irá expirar e um novo código será gerado. Você pode consultar a documentação do aplicativo autenticador para obter instruções específicas.

E se eu não conseguir gerar o código de seis dígitos?

Se você se encontrar em uma situação em que não consiga acessar o aplicativo autenticador, precisará usar um código de segurança de backup para fazer login no Myafrinic portal. O código de backup é um código de uso único de 10 caracteres que você pode usar no lugar do código OTP para acessar sua conta.

Depois de habilitar a autenticação 2FA, você encontrará o botão “Gerar códigos de backup” na seção Autenticação de 2 fatores. Os códigos de backup serão gerados quando o botão for clicado e o sistema fornecerá 5 códigos de backup de uso único. Anote-os ou imprima-os e guarde-os em um local seguro. Cada código de backup só pode ser usado uma vez; entretanto, você pode gerar um novo conjunto de códigos a qualquer momento.

Se você não tiver acesso à sua conta e não tiver o código de segurança de backup, entre em contato conosco.

E se eu não tiver ou quiser usar um smartphone?

Um smartphone com um aplicativo autenticador torna muito fácil usar 2FA, mas, em princípio, você pode usar qualquer aplicativo capaz de gerar senhas de uso único baseadas em tempo. Por exemplo, o OATH Toolkit permite gerar códigos de segurança a partir da linha de comando. A página do manual fornecerá detalhes sobre como usar o aplicativo. A outra opção poderia ser o OTP Manager, outro aplicativo simples para gerenciar tokens de senha única (OTP).

Posso desativar a autenticação de 2 fatores após ativá-la?

sim. 2FA é opcional, mas um recurso de segurança altamente recomendado. Você pode desativar a funcionalidade navegando até a página Segurança de sua seção “Minha conta”, clicando no botão “Desativar” botão ".

Nota importante:

Em 24 de junho de 2021, durante a manutenção programada para adicionar o recurso 2FA em MyAFRINIC, a alteração foi revertida conforme encontramos alguns problemas. Fornecemos o relatório em nossa página de status em https://status.afrinic.net/#notice-121229

Esperamos agora a implantação na segunda semana de julho.

Notícias