Pendaftar APNIC, sing tanggung jawab kanggo ngalokasiake alamat IP ing wilayah Asia-Pasifik, nglaporake kedadeyan nalika mbucal Whois SQL sing ngemot data sensitif lan hash sandhi kasedhiya kanggo umum. Wigati dimangerteni manawa iki dudu bocor pertama data pribadhi ing APNIC - ing 2017, database Whois wis ana ing domain umum lan uga amarga pengawasan staf.
Ing proses ngleksanakake dhukungan kanggo protokol RDAP, dirancang kanggo ngganti protokol WHOIS, karyawan APNIC nempatake dump SQL saka database sing digunakake ing layanan Whois ing Google Cloud, nanging ora mbatesi akses menyang. Amarga kesalahan ing setelan, mbucal SQL kasedhiya kanggo umum telung sasi, lan kasunyatan iki dicethakaké mung ing 4 Juni, nalika salah siji saka peneliti keamanan sawijining narik kawigaten manungsa waé kanggo iki lan menehi kabar marang registrar bab masalah.
SQL dump ngemot atribut "auth" sing ngemot hash sandhi kanggo ngowahi obyek Maintainer and Incident Response Team (IRT), uga sawetara informasi sensitif babagan klien sing ora ditampilake ing Whois sajrone pitakon normal (biasane iki minangka rincian kontak lan cathetan tambahan. babagan pangguna). Ing kasus pemulihan sandi, para panyerang duwe kesempatan kanggo ngganti isi lapangan kanthi paramèter saka pamilik blok alamat IP ing Whois. Objek Maintainer nemtokake wong sing tanggung jawab kanggo ngganti klompok rekaman sing disambung liwat atribut "mnt-by", lan obyek IRT ngemot rincian kontak administrator sing nanggapi kabar masalah. Informasi babagan algoritma hashing sandhi sing digunakake ora kasedhiya, nanging ing 2017 algoritma MD5 lan CRYPT-PW sing wis lawas (sandhi 8 karakter kanthi hash adhedhasar fungsi crypt UNIX) digunakake kanggo hashing.
Sawise panemuan kedadeyan kasebut, APNIC miwiti ngreset sandhi kanggo obyek ing Whois. Ing sisih APNIC, pratandha saka tumindak sing ora sah durung ditemokake, nanging ora ana jaminan manawa data kasebut ora ana ing tangan para penyusup, amarga ora ana akses lengkap menyang file ing Google Cloud. Kaya sawise kedadeyan pungkasan, APNIC janji bakal nganakake audit lan nggawe owah-owahan ing proses teknologi kanggo nyegah bocor kasebut ing mangsa ngarep.
Source: opennet.ru