רשם ה-APNIC, האחראי להפצת כתובות IP באזור אסיה-פסיפיק, דיווח על תקרית שבעקבותיה בוצעה זמינה לציבור dump SQL של שירות Whois, לרבות נתונים סודיים וגיבוב סיסמאות. ראוי לציין שזו לא הדליפה הראשונה של נתונים אישיים ב-APNIC - ב-2017, מסד הנתונים של Whois כבר הפך לזמין לציבור, גם בשל פיקוח הצוות.
בתהליך הצגת התמיכה בפרוטוקול RDAP, שנועד להחליף את פרוטוקול WHOIS, עובדי APNIC הציבו dump SQL של מסד הנתונים המשמש בשירות Whois באחסון הענן של Google Cloud, אך לא הגבילו את הגישה אליו. עקב טעות בהגדרות, ה-SQL dump היה זמין לציבור במשך שלושה חודשים ועובדה זו נחשפה רק ב-4 ביוני, כאשר אחד מחוקרי האבטחה הבלתי תלויים הבחין בכך והודיע לרשם על הבעיה.
ה-SQL dump הכילה תכונות "auth" המכילות גיבוב של סיסמא לשינוי אובייקטי Maintainer ו-Incident Response Team (IRT), כמו גם מידע רגיש של לקוחות שאינם מוצגים ב-Whois במהלך שאילתות רגילות (בדרך כלל פרטים נוספים ליצירת קשר והערות על המשתמש) . במקרה של שחזור סיסמה, התוקפים הצליחו לשנות את תוכן השדות עם הפרמטרים של הבעלים של בלוקים של כתובות IP ב-Whois. האובייקט Maintainer מגדיר את האדם האחראי לשינוי קבוצת רשומות המקושרות באמצעות התכונה "mnt-by", ואובייקט IRT מכיל מידע ליצירת קשר עבור מנהלי מערכת המגיבים להודעות על בעיות. מידע על אלגוריתם הגיבוב הסיסמאות בשימוש אינו מסופק, אך בשנת 2017, נעשה שימוש באלגוריתמים מיושנים של MD5 ו-CRYPT-PW (סיסמאות בנות 8 תווים עם גיבוב המבוסס על פונקציית ה-UNIX crypt).
לאחר זיהוי האירוע, APNIC יזמה איפוס של סיסמאות לאובייקטים ב-Whois. בצד APNIC, עדיין לא זוהו סימנים לפעולות לא לגיטימיות, אך אין ערובה לכך שהנתונים לא נפלו לידיהם של תוקפים, שכן אין יומני גישה מלאים לקבצים ב-Google Cloud. כמו לאחר התקרית הקודמת, APNIC הבטיחה לבצע ביקורת ולערוך שינויים בתהליכים טכנולוגיים כדי למנוע דליפות דומות בעתיד.
מקור: OpenNet.ru