Pendaftar APNIC, yang bertanggungjawab untuk memperuntukkan alamat IP di rantau Asia-Pasifik, melaporkan kejadian di mana longgokan Whois SQL yang mengandungi data sensitif dan cincang kata laluan tersedia untuk umum. Perlu diperhatikan bahawa ini bukan kebocoran pertama data peribadi dalam APNIC - pada tahun 2017, pangkalan data Whois telah pun berada dalam domain awam dan juga disebabkan oleh pengawasan kakitangan.
Dalam proses melaksanakan sokongan untuk protokol RDAP, yang direka untuk menggantikan protokol WHOIS, pekerja APNIC meletakkan tempat pembuangan SQL bagi pangkalan data yang digunakan dalam perkhidmatan Whois dalam Google Cloud, tetapi tidak menyekat akses kepadanya. Disebabkan ralat dalam tetapan, pembuangan SQL tersedia secara terbuka selama tiga bulan, dan fakta ini hanya didedahkan pada 4 Jun, apabila salah seorang penyelidik keselamatan bebas menarik perhatian kepada perkara ini dan memberitahu pendaftar tentang masalah itu.
Longgokan SQL mengandungi atribut "auth" yang mengandungi cincang kata laluan untuk mengubah suai objek Pasukan Tindak Balas Penyelenggara dan Insiden (IRT), serta beberapa maklumat sensitif tentang pelanggan yang tidak dipaparkan dalam Whois semasa pertanyaan biasa (biasanya ini adalah butiran hubungan dan nota tambahan tentang pengguna). Dalam kes pemulihan kata laluan, penyerang dapat menukar kandungan medan dengan parameter pemilik blok alamat IP dalam Whois. Objek Penyelenggara mentakrifkan orang yang bertanggungjawab untuk menukar kumpulan rekod yang dipautkan melalui atribut "mnt-by", dan objek IRT mengandungi butiran hubungan pentadbir yang bertindak balas kepada pemberitahuan masalah. Maklumat tentang algoritma pencincangan kata laluan yang digunakan tidak disediakan, tetapi pada tahun 2017, algoritma MD5 dan CRYPT-PW yang sudah lapuk (kata laluan 8 aksara dengan cincang berdasarkan fungsi crypt UNIX) telah digunakan untuk pencincangan.
Berikutan penemuan kejadian itu, APNIC memulakan tetapan semula kata laluan untuk objek dalam Whois. Di sisi APNIC, tanda-tanda tindakan tidak sah masih belum ditemui, tetapi tiada jaminan bahawa data itu tidak jatuh ke tangan penceroboh, kerana tiada log akses penuh kepada fail dalam Google Cloud. Seperti selepas insiden terakhir, APNIC berjanji untuk menjalankan audit dan membuat perubahan kepada proses teknologi bagi mengelakkan kebocoran tersebut pada masa hadapan.
Sumber: opennet.ru