Регистраторот на APNIC, одговорен за дистрибуција на IP адреси во азиско-пацифичкиот регион, пријави инцидент како резултат на кој е јавно достапна депонијата на SQL на услугата Whois, вклучувајќи доверливи податоци и хашови на лозинки. Вреди да се одбележи дека ова не е прво протекување на лични податоци во АПНИК - во 2017 година, базата на Whois веќе беше јавно достапна, исто така поради надзор на персоналот.
Во процесот на воведување поддршка за протоколот RDAP, дизајниран да го замени протоколот WHOIS, вработените во APNIC поставија SQL депонија од базата на податоци што се користи во услугата Whois во складиштето во облак на Google Cloud, но не го ограничија пристапот до него. Поради грешка во поставките, депонијата SQL беше јавно достапна три месеци и овој факт беше откриен дури на 4 јуни, кога еден од независните безбедносни истражувачи го привлече вниманието на ова и го извести регистраторот за проблемот.
Депонијата на SQL содржеше атрибути „auth“ што содржат хашови на лозинка за менување на објектите на Одржувач и Тим за одговор на инциденти (IRT), како и некои чувствителни информации за клиентите што не се прикажуваат во Whois за време на вообичаените барања (обично дополнителни информации за контакт и белешки за корисникот) . Во случај на враќање на лозинката, напаѓачите можеа да ја променат содржината на полињата со параметрите на сопствениците на блоковите за IP адреси во Whois. Објектот Maintainer го дефинира лицето одговорно за менување на група записи поврзани преку атрибутот „mnt-by“, а објектот IRT содржи информации за контакт за администраторите кои одговараат на известувањата за проблемот. Информациите за користениот алгоритам за хеширање лозинки не се обезбедени, но во 2017 година, за хаширање беа користени застарени алгоритми MD5 и CRYPT-PW (лозинки со 8 знаци со хеш базирани на функцијата UNIX крипт).
Откако го идентификуваше инцидентот, APNIC иницираше ресетирање на лозинки за објекти во Whois. Од страната на APNIC, сè уште не се откриени знаци за нелегитимни дејствија, но нема гаранции дека податоците не паднале во рацете на напаѓачите, бидејќи нема целосни дневници за пристап до датотеките на Google Cloud. Како и по претходниот инцидент, АПНИК вети дека ќе спроведе ревизија и ќе направи промени во технолошките процеси за да спречи слични протекувања во иднина.
Извор: opennet.ru