Ny mpisoratra anarana APNIC, tompon'andraikitra amin'ny fizarana adiresy IP any amin'ny faritr'i Azia-Pasifika, dia nitatitra tranga iray izay nahatonga ny fanariana SQL an'ny serivisy Whois, anisan'izany ny angon-drakitra tsiambaratelo sy ny tenimiafina tenimiafina, navoaka ampahibemaso. Marihina fa tsy ity no voalohany nipoitra ny angon-drakitra manokana tao amin'ny APNIC - tamin'ny taona 2017 dia efa navoaka ampahibemaso ny angon-drakitra Whois, noho ny fanaraha-maso ny mpiasa.
Ao anatin'ny dingan'ny fampidirana ny fanohanana ny protocol RDAP, natao hanoloana ny protocol WHOIS, ny mpiasan'ny APNIC dia nametraka fanariam-baovao SQL ampiasaina amin'ny serivisy Whois ao amin'ny fitahirizana rahona Google Cloud, saingy tsy nametra ny fidirana amin'izany. Noho ny fahadisoana teo amin'ny toe-javatra, ny SQL dump dia navoaka ampahibemaso nandritra ny telo volana ary io zava-misy io ihany no nambara tamin'ny 4 Jona, rehefa nahatsikaritra izany ny iray amin'ireo mpikaroka momba ny fiarovana mahaleo tena ary nampandre ny mpiraki-draharaha momba ny olana.
Ny fanariam-baravaran'ny SQL dia misy toetra "auth" misy hashes amin'ny tenimiafina hanovana zavatra Maintainer and Incident Response Team (IRT), ary koa fampahalalana momba ny mpanjifa saro-pady izay tsy aseho amin'ny Whois mandritra ny fangatahana mahazatra (matetika fampahalalana fanampiny momba ny fifandraisana sy fanamarihana momba ny mpampiasa). . Raha ny momba ny famerenana ny tenimiafina, ireo mpanafika dia afaka nanova ny votoatin'ny saha miaraka amin'ny mason'ny tompon'ny adiresy IP amin'ny Whois. Ny zavatra Maintainer dia mamaritra ny olona tompon'andraikitra amin'ny fanovana vondrona firaketana mifandray amin'ny alΓ lan'ny toetra "mnt-by", ary ny zavatra IRT dia misy fampahalalana mifandray amin'ny mpitantana izay mamaly fampandrenesana olana. Ny fampahalalana momba ny algorithm hashing tenimiafina ampiasaina dia tsy omena, fa tamin'ny taona 2017, ny algorithm MD5 sy CRYPT-PW efa lany andro (tenim-paritra 8 miaraka amin'ny hash mifototra amin'ny fiasan'ny crypt UNIX) dia nampiasaina ho an'ny hashing.
Taorian'ny nahafantarana ny zava-nitranga dia nanomboka namerina ny tenimiafina ho an'ny zavatra ao amin'ny Whois ny APNIC. Eo amin'ny lafiny APNIC, tsy mbola hita soritra ny hetsika tsy ara-dalΓ na, saingy tsy misy antoka fa tsy latsaka eo am-pelatanan'ny mpanafika ny angon-drakitra, satria tsy misy logiciel feno amin'ny fidirana amin'ny rakitra ao amin'ny Google Cloud. Toy ny taorian'ny zava-nitranga teo aloha, nampanantena ny APNIC fa hanao fanaraha-maso sy hanova ny dingana ara-teknolojia mba hisorohana ny fivoahana mitovy amin'izany amin'ny ho avy.
Source: opennet.ru