Thuairiscigh cláraitheoir APNIC, atá freagrach as seoltaí IP a dháileadh sa réigiún Áise-Aigéan Ciúin, teagmhas mar thoradh ar a cuireadh dumpáil SQL de sheirbhís Whois, lena n-áirítear sonraí rúnda agus hashes pasfhocail, ar fáil go poiblí. Is fiú a thabhairt faoi deara nach é seo an chéad sceitheadh sonraí pearsanta in APNIC - i 2017, cuireadh bunachar sonraí Whois ar fáil go poiblí cheana féin, mar gheall ar mhaoirseacht foirne freisin.
Sa phróiseas chun tacaíocht a thabhairt isteach don phrótacal RDAP, a ceapadh chun prótacal WHOIS a athsholáthar, chuir fostaithe APNIC dumpáil SQL den bhunachar sonraí a úsáideadh i seirbhís Whois i stóráil scamall Google Cloud, ach níor chuir siad srian ar rochtain air. Mar gheall ar earráid sna socruithe, bhí an dumpáil SQL ar fáil go poiblí ar feadh trí mhí agus níor nochtadh an méid seo ach ar 4 Meitheamh, nuair a thug duine de na taighdeoirí slándála neamhspleácha é seo faoi deara agus thug sé fógra don chláraitheoir faoin bhfadhb.
Bhí tréithe “auth” sa dumpáil SQL ina raibh hashes pasfhocail chun oibiachtaí Cothabhála agus Fhoireann Freagartha Teagmhais (IRT) a athrú, chomh maith le roinnt faisnéise íogair ó chustaiméirí nach dtaispeántar in Whois le linn gnáthfhiosrúcháin (faisnéis teagmhála breise agus nótaí faoin úsáideoir de ghnáth) . I gcás aisghabháil pasfhocal, bhí na hionsaitheoirí in ann inneachar na réimsí a athrú le paraiméadair úinéirí bloic seoltaí IP i Whois. Sainíonn oibiacht an Chothabhála an duine atá freagrach as grúpa taifead a mhodhnú a nasctar tríd an aitreabúid "mnt-by", agus tá faisnéis teagmhála san oibiacht IRT do riarthóirí a fhreagraíonn d'fhógraí fadhbacha. Ní sholáthraítear faisnéis faoin algartam hashing pasfhocal a úsáidtear, ach in 2017, baineadh úsáid as halgartaim MD5 agus CRYPT-PW as dáta (pasfhocail 8-charachtar le hashes bunaithe ar fheidhm cript UNIX) le haghaidh hashing.
Tar éis an eachtra a aithint, chuir APNIC tús le hathshocrú pasfhocail le haghaidh rudaí i Whois. Ar thaobh APNIC, níor aimsíodh aon chomharthaí de ghníomhartha neamhdhlisteanacha fós, ach níl aon ráthaíochtaí ann nach dtagann na sonraí isteach i lámha ionsaitheoirí, ós rud é nach bhfuil aon logaí iomlána rochtana ar chomhaid ar Google Cloud. Mar a tharla tar éis an teagmhais roimhe seo, gheall APNIC iniúchadh a dhéanamh agus athruithe a dhéanamh ar phróisis teicneolaíochta chun sceitheadh cosúil a chosc sa todhchaí.
Foinse: oscailtenet.ru