Ang APNIC registrar, nga responsable sa pag-apod-apod sa mga IP address sa rehiyon sa Asia-Pacific, nagreport sa usa ka insidente nga resulta sa usa ka SQL dump sa serbisyo sa Whois, lakip ang kompidensyal nga datos ug password nga mga hash, gihimo sa publiko. Mamatikdan nga dili kini ang una nga pagtulo sa personal nga datos sa APNIC - kaniadtong 2017, ang Whois database nahimo na nga magamit sa publiko, tungod usab sa pagdumala sa mga kawani.
Sa proseso sa pagpaila sa suporta alang sa RDAP protocol, nga gidisenyo sa pag-ilis sa WHOIS protocol, ang mga empleyado sa APNIC nagbutang ug SQL dump sa database nga gigamit sa Whois nga serbisyo sa Google Cloud cloud storage, apan wala magpugong sa pag-access niini. Tungod sa usa ka sayup sa mga setting, ang SQL dump magamit sa publiko sulod sa tulo ka bulan ug kini nga kamatuoran gipadayag lamang sa Hunyo 4, sa dihang ang usa sa mga independenteng tigdukiduki sa seguridad nakamatikod niini ug nagpahibalo sa tigrehistro mahitungod sa problema.
Ang SQL dump adunay mga "auth" nga mga hiyas nga adunay password nga mga hash alang sa pagbag-o sa mga butang sa Maintainer ug Incident Response Team (IRT), ingon man usab sa pipila ka sensitibo nga impormasyon sa kustomer nga wala gipakita sa Whois atol sa normal nga mga pangutana (kasagaran dugang nga impormasyon sa pagkontak ug mga nota mahitungod sa user) . Sa kaso sa pagbawi sa password, ang mga tig-atake nakahimo sa pagbag-o sa mga sulud sa mga uma nga adunay mga parameter sa mga tag-iya sa mga bloke sa IP address sa Whois. Ang butang nga Maintainer naghubit sa tawo nga responsable sa pag-usab sa usa ka grupo sa mga rekord nga nalambigit pinaagi sa "mnt-by" nga hiyas, ug ang butang nga IRT naglangkob sa impormasyon sa pagkontak alang sa mga tigdumala nga motubag sa mga pahibalo sa problema. Ang impormasyon bahin sa password hashing algorithm nga gigamit wala gihatag, apan sa 2017, ang outdated MD5 ug CRYPT-PW algorithms (8-character nga mga password nga adunay mga hash base sa UNIX crypt function) gigamit alang sa hashing.
Human mahibal-an ang insidente, gisugdan sa APNIC ang pag-reset sa mga password alang sa mga butang sa Whois. Sa bahin sa APNIC, wala pa nakit-an nga mga timailhan sa dili lehitimong aksyon, apan wala’y garantiya nga ang datos wala mahulog sa mga kamot sa mga tig-atake, tungod kay wala’y kompleto nga mga log sa pag-access sa mga file sa Google Cloud. Sama sa pagkahuman sa miaging insidente, ang APNIC misaad nga magpahigayon ug audit ug maghimo mga pagbag-o sa mga proseso sa teknolohiya aron malikayan ang susamang pagtulo sa umaabot.
Source: opennet.ru