အာရှ-ပစိဖိတ်ဒေသရှိ IP လိပ်စာများ ဖြန့်ဖြူးမှုအတွက် တာဝန်ရှိသော APNIC မှတ်ပုံတင်အရာရှိသည် လျှို့ဝှက်ဒေတာနှင့် စကားဝှက်ဟက်ရှ်များအပါအဝင် Whois ဝန်ဆောင်မှု၏ SQL အမှိုက်ပုံအား လူသိရှင်ကြား ထုတ်ပြန်လိုက်ခြင်းကြောင့် အဖြစ်အပျက်တစ်ခုကို အစီရင်ခံတင်ပြခဲ့ပါသည်။ ဤသည်မှာ APNIC တွင် ပထမဆုံးသော ကိုယ်ရေးကိုယ်တာအချက်အလက်များ ပေါက်ကြားခြင်းမဟုတ်ကြောင်း မှတ်သားဖွယ်ဖြစ်ပါသည် - 2017 ခုနှစ်တွင် Whois ဒေတာဘေ့စ်ကို ဝန်ထမ်းများ၏ ကြီးကြပ်မှုကြောင့်လည်း လူသိရှင်ကြား ထုတ်ပြခဲ့ပြီးဖြစ်သည်။
WHOIS ပရိုတိုကောကို အစားထိုးရန် ဒီဇိုင်းထုတ်ထားသည့် RDAP ပရိုတိုကောအတွက် ပံ့ပိုးမှုမိတ်ဆက်ခြင်းလုပ်ငန်းစဉ်တွင်၊ APNIC ဝန်ထမ်းများသည် Google Cloud cloud သိုလှောင်မှုတွင် Whois ဝန်ဆောင်မှုတွင် အသုံးပြုသည့် ဒေတာဘေ့စ်၏ SQL အမှိုက်ပုံတစ်ပုံကို ထားရှိခဲ့သော်လည်း ၎င်းကို အသုံးပြုခွင့်ကို ကန့်သတ်မထားပေ။ ဆက်တင်များတွင် အမှားအယွင်းတစ်ခုကြောင့် SQL dump ကို သုံးလကြာ လူသိရှင်ကြား အသုံးပြုနိုင်ခဲ့ပြီး လွတ်လပ်သော လုံခြုံရေးသုတေသီတစ်ဦးမှ ၎င်းကို သတိပြုမိပြီး ပြဿနာနှင့်ပတ်သက်၍ မှတ်ပုံတင်အရာရှိထံ အကြောင်းကြားသောအခါတွင် အဆိုပါအချက်ကို ဇွန်လ 4 ရက်နေ့တွင်သာ ထုတ်ဖော်ခဲ့သည်။
SQL အမှိုက်ပုံတွင် Maintainer နှင့် Incident Response Team (IRT) အရာဝတ္ထုများကို ပြောင်းလဲရန်အတွက် စကားဝှက် hash များပါရှိသော "auth" ရည်ညွှန်းချက်များ ပါဝင်သည့်အပြင် ပုံမှန်မေးမြန်းမှုများအတွင်း Whois တွင် မပြထားသော အရေးကြီးသော သုံးစွဲသူအချက်အလက်အချို့ (အသုံးပြုသူနှင့်ပတ်သက်သော အပိုအဆက်အသွယ်အချက်အလက်များနှင့် မှတ်စုများ) . စကားဝှက်ပြန်လည်ရယူခြင်းကိစ္စတွင်၊ တိုက်ခိုက်သူများသည် Whois ရှိ IP လိပ်စာပိတ်ဆို့ခြင်းပိုင်ရှင်များ၏ ကန့်သတ်ချက်များဖြင့် အကွက်များ၏ အကြောင်းအရာများကို ပြောင်းလဲနိုင်ခဲ့သည်။ Maintainer object သည် "mnt-by" ရည်ညွှန်းချက်ဖြင့် ချိတ်ဆက်ထားသော မှတ်တမ်းအုပ်စုတစ်စုကို ပြုပြင်မွမ်းမံရန် တာဝန်ရှိပုဂ္ဂိုလ်ကို သတ်မှတ်ပေးပြီး IRT အရာဝတ္တုတွင် ပြဿနာသတိပေးချက်များကို တုံ့ပြန်သည့် စီမံခန့်ခွဲသူများအတွက် အဆက်အသွယ်အချက်အလက်ပါရှိသည်။ အသုံးပြုထားသော စကားဝှက်ကို ဟက်ခ်လုပ်သည့် အယ်လဂိုရီသမ်နှင့်ပတ်သက်သည့် အချက်အလက်ကို မဖော်ပြထားသော်လည်း 2017 ခုနှစ်တွင် ခေတ်မမီတော့သော MD5 နှင့် CRYPT-PW အယ်လဂိုရီသမ်များ (UNIX crypt လုပ်ဆောင်ချက်ကို အခြေခံသည့် စာလုံး 8 လုံးပါသော စကားဝှက်များ) ကို hashing အတွက် အသုံးပြုခဲ့သည်။
အဖြစ်အပျက်ကို ဖော်ထုတ်ပြီးနောက်၊ APNIC သည် Whois ရှိ အရာဝတ္ထုများအတွက် စကားဝှက်များ ပြန်လည်သတ်မှတ်ခြင်းကို စတင်ခဲ့သည်။ APNIC ဘက်တွင်မူ တရားမ၀င်သော လုပ်ဆောင်ချက်များ၏ အရိပ်အယောင်များကို မတွေ့ရသေးသော်လည်း Google Cloud ပေါ်ရှိ ဖိုင်များကို ဝင်ရောက်ကြည့်ရှုနိုင်သည့် မှတ်တမ်းများ အပြည့်အစုံမရှိသောကြောင့် ဒေတာသည် တိုက်ခိုက်သူများလက်သို့ မကျကြောင်း အာမခံချက်မရှိပါ။ ယခင်ဖြစ်ရပ်ပြီးနောက်တွင် APNIC သည် စာရင်းစစ်ပြုလုပ်ပြီး နောင်တွင် အလားတူပေါက်ကြားမှုများကို ကာကွယ်ရန် နည်းပညာဆိုင်ရာ လုပ်ငန်းစဉ်များကို အပြောင်းအလဲပြုလုပ်မည်ဟု ကတိပြုခဲ့သည်။
source: opennet.ru