Rekisterinpitäjä APNIC, joka vastaa IP-osoitteiden jakamisesta Aasian ja Tyynenmeren alueella, ilmoitti tapauksesta, jossa arkaluonteisia tietoja ja salasanahajauksia sisältävä Whois SQL -vedos tuli julkisesti saataville. On huomionarvoista, että tämä ei ole ensimmäinen henkilötietojen vuoto APNIC:ssä - vuonna 2017 Whois-tietokanta oli jo julkisessa käytössä ja myös henkilöstön valvonnan vuoksi.
Ottaessaan käyttöön tukea WHOIS-protokollaa korvaavalle RDAP-protokollalle APNIC-työntekijät asettivat Whois-palvelussa käytetyn tietokannan SQL-vedon Google Cloudiin, mutta eivät rajoittaneet pääsyä siihen. Asetusten virheen vuoksi SQL-vedos oli julkisesti saatavilla kolme kuukautta, ja tämä seikka paljastui vasta 4., kun yksi riippumattomista tietoturvatutkijoista kiinnitti asiaan huomion ja ilmoitti ongelmasta rekisterinpitäjälle.
SQL-vedos sisälsi "auth"-attribuutteja, jotka sisälsivät salasanahajauksia ylläpito- ja tapahtumavastaustiimi (IRT) -objektien muokkaamiseen, sekä joitain arkaluontoisia asiakkaita koskevia tietoja, jotka eivät näy Whoisissa tavallisten kyselyjen aikana (yleensä nämä ovat lisäyhteystietoja ja huomautuksia käyttäjästä). Salasanan palautuksen tapauksessa hyökkääjillä oli mahdollisuus muuttaa kenttien sisältöä Whoisin IP-osoitelohkojen omistajien parametreilla. Maintainer-objekti määrittää henkilön, joka on vastuussa "mnt-by"-attribuutin kautta linkitetyn tietueryhmän muuttamisesta, ja IRT-objekti sisältää ongelmailmoituksiin vastaavien järjestelmänvalvojien yhteystiedot. Tietoa käytetystä salasanan hajautusalgoritmista ei ole annettu, mutta vuonna 2017 hajauttamiseen käytettiin vanhentuneita MD5- ja CRYPT-PW-algoritmeja (8-merkkisiä salasanoja UNIX-salaustoimintoon perustuvilla hajautusalgoritmeilla).
Tapahtuman havaitsemisen jälkeen APNIC aloitti Whoisin kohteiden salasanojen nollauksen. APNIC-puolella ei ole vielä löydetty merkkejä laittomista toimista, mutta ei ole takeita siitä, että tiedot eivät päätyneet tunkeilijoiden käsiin, koska Google Cloudissa ei ole täydellisiä pääsylokeja tiedostoille. Kuten edellisen tapauksen jälkeen, APNIC lupasi suorittaa auditoinnin ja tehdä muutoksia teknologisiin prosesseihin tällaisten vuotojen estämiseksi tulevaisuudessa.
Lähde: opennet.ru