Pendaftar APNIC, yang bertanggung jawab atas distribusi alamat IP di kawasan Asia-Pasifik, melaporkan sebuah insiden yang mengakibatkan dump SQL layanan Whois, termasuk data rahasia dan hash kata sandi, dipublikasikan. Patut dicatat bahwa ini bukan kebocoran data pribadi pertama di APNIC - pada tahun 2017, basis data Whois sudah tersedia untuk umum, juga karena pengawasan staf.
Dalam proses memperkenalkan dukungan untuk protokol RDAP, yang dirancang untuk menggantikan protokol WHOIS, karyawan APNIC menempatkan dump SQL dari database yang digunakan dalam layanan Whois di penyimpanan cloud Google Cloud, namun tidak membatasi akses ke sana. Karena kesalahan dalam pengaturan, dump SQL tersedia untuk umum selama tiga bulan dan fakta ini terungkap hanya pada tanggal 4 Juni, ketika salah satu peneliti keamanan independen memperhatikan hal ini dan memberi tahu registrar tentang masalah tersebut.
Dump SQL berisi atribut "auth" yang berisi hash kata sandi untuk mengubah objek Pengelola dan Tim Respons Insiden (IRT), serta beberapa informasi sensitif pelanggan yang tidak ditampilkan di Whois selama kueri normal (biasanya informasi kontak tambahan dan catatan tentang pengguna) . Dalam hal pemulihan kata sandi, penyerang dapat mengubah konten bidang dengan parameter pemilik blok alamat IP di Whois. Objek Pengelola mendefinisikan orang yang bertanggung jawab untuk memodifikasi sekelompok catatan yang ditautkan melalui atribut "mnt-by", dan objek IRT berisi informasi kontak untuk administrator yang merespons pemberitahuan masalah. Informasi tentang algoritme hashing kata sandi yang digunakan tidak disediakan, tetapi pada tahun 2017, algoritme MD5 dan CRYPT-PW yang sudah ketinggalan zaman (kata sandi 8 karakter dengan hash berdasarkan fungsi crypt UNIX) digunakan untuk hashing.
Setelah mengidentifikasi kejadian tersebut, APNIC memulai pengaturan ulang kata sandi untuk objek di Whois. Di pihak APNIC, belum ada tanda-tanda tindakan tidak sah yang terdeteksi, namun tidak ada jaminan bahwa data tersebut tidak jatuh ke tangan penyerang, karena tidak ada log akses lengkap ke file di Google Cloud. Seperti setelah kejadian sebelumnya, APNIC berjanji akan melakukan audit dan melakukan perubahan pada proses teknologi untuk mencegah kebocoran serupa di masa mendatang.
Sumber: opennet.ru