ثبتکننده APNIC، مسئول توزیع آدرسهای IP در منطقه آسیا و اقیانوسیه، حادثهای را گزارش کرد که در نتیجه آن حذف SQL از سرویس Whois، شامل دادههای محرمانه و هش رمز عبور، در دسترس عموم قرار گرفت. قابل توجه است که این اولین نشت داده های شخصی در APNIC نیست - در سال 2017، پایگاه داده Whois قبلاً در دسترس عموم قرار گرفت، همچنین به دلیل نظارت کارکنان.
در فرآیند معرفی پشتیبانی از پروتکل RDAP، طراحی شده برای جایگزینی پروتکل WHOIS، کارمندان APNIC یک Dump SQL از پایگاه داده مورد استفاده در سرویس Whois را در فضای ذخیره سازی ابری Google Cloud قرار دادند، اما دسترسی به آن را محدود نکردند. به دلیل خطا در تنظیمات، Dump SQL به مدت سه ماه در دسترس عموم قرار گرفت و این واقعیت تنها در 4 ژوئن فاش شد، زمانی که یکی از محققان امنیتی مستقل متوجه این موضوع شد و به ثبت کننده در مورد مشکل اطلاع داد.
SQL dump حاوی ویژگیهای "auth" حاوی هشهای رمز عبور برای تغییر اشیاء Maintainer و Incident Response Team (IRT) و همچنین برخی از اطلاعات حساس مشتری است که در Whois در هنگام درخواستهای عادی نمایش داده نمیشوند (معمولاً اطلاعات تماس اضافی و یادداشتهایی درباره کاربر) . در مورد بازیابی رمز عبور، مهاجمان توانستند محتویات فیلدها را با پارامترهای صاحبان بلوک آدرس IP در Whois تغییر دهند. شیء Maintainer مسئول اصلاح گروهی از رکوردهای پیوند شده از طریق ویژگی "mnt-by" را تعریف می کند و شی IRT حاوی اطلاعات تماس مدیرانی است که به اعلان های مشکل پاسخ می دهند. اطلاعاتی در مورد الگوریتم هش رمز عبور استفاده شده ارائه نشده است، اما در سال 2017 از الگوریتم های قدیمی MD5 و CRYPT-PW (گذرواژه های 8 کاراکتری با هش بر اساس تابع کریپت یونیکس) برای هش استفاده شد.
پس از شناسایی حادثه، APNIC بازنشانی رمزهای عبور اشیاء در Whois را آغاز کرد. در سمت APNIC، هنوز هیچ نشانه ای از اقدامات غیرقانونی شناسایی نشده است، اما هیچ تضمینی وجود ندارد که داده ها به دست مهاجمان نیفتد، زیرا هیچ گزارش کاملی از دسترسی به فایل ها در Google Cloud وجود ندارد. همانطور که پس از حادثه قبلی، APNIC قول داد که ممیزی انجام دهد و تغییراتی در فرآیندهای تکنولوژیکی ایجاد کند تا از نشت های مشابه در آینده جلوگیری کند.
منبع: opennet.ru