La registristo de APNIC, respondeca pri la distribuado de IP-adresoj en la Azi-Pacifika regiono, raportis okazaĵon rezulte de kiu SQL-forĵeto de la Whois-servo, inkluzive de konfidencaj datumoj kaj pasvortaj haŝaĵoj, fariĝis publike havebla. Estas rimarkinde, ke ĉi tio ne estas la unua liko de personaj datumoj en APNIC - en 2017, la Whois-datumbazo jam estis publike disponebla, ankaŭ pro personara kontrolado.
En la procezo de enkonduko de subteno por la RDAP-protokolo, desegnita por anstataŭigi la WHOIS-protokolon, APNIC-dungitoj metis SQL-ruĝejon de la datumbazo uzata en la Whois-servo en la nuba stokado de Google Cloud, sed ne limigis aliron al ĝi. Pro eraro en la agordoj, la SQL-dump estis publike havebla dum tri monatoj kaj ĉi tiu fakto estis malkaŝita nur la 4-an de junio, kiam unu el la sendependaj sekurecaj esploristoj rimarkis tion kaj sciigis la registriston pri la problemo.
La SQL-rubejo enhavis "aŭth" atributojn enhavantajn pasvortajn haŝojn por ŝanĝi Maintainer kaj Incident Response Team (IRT) objektojn, same kiel iujn sentemajn klientajn informojn kiuj ne estas montritaj en Whois dum normalaj demandoj (kutime kromaj kontaktinformoj kaj notoj pri la uzanto) . En la kazo de pasvorta reakiro, la atakantoj povis ŝanĝi la enhavon de la kampoj kun la parametroj de la posedantoj de IP-adresblokoj en Whois. La Maintainer-objekto difinas la personon respondecan por modifado de grupo de rekordoj ligitaj per la "mnt-by" atributo, kaj la IRT-objekto enhavas kontaktinformojn por administrantoj kiuj respondas al problemscioj. Informoj pri la pasvorta hash algoritmo uzata ne estas provizita, sed en 2017, malmodernaj MD5 kaj CRYPT-PW algoritmoj (8-karakteraj pasvortoj kun hashes bazita sur la UNIX kripto funkcio) estis uzitaj por hashing.
Post identigado de la okazaĵo, APNIC iniciatis rekomencigon de pasvortoj por objektoj en Whois. Flanke de APNIC, ankoraŭ ne estas detektitaj signoj de kontraŭleĝaj agoj, sed ne ekzistas garantioj, ke la datumoj ne falis en la manojn de atakantoj, ĉar ne ekzistas kompletaj protokoloj de aliro al dosieroj en Google Cloud. Kiel post la antaŭa okazaĵo, APNIC promesis fari revizion kaj fari ŝanĝojn al teknologiaj procezoj por malhelpi similajn likojn en la estonteco.
fonto: opennet.ru