Registrar APNIC, odgovoren za distribucijo naslovov IP v azijsko-pacifiški regiji, je poročal o incidentu, zaradi katerega je bil javno dostopen izpis SQL storitve Whois, vključno z zaupnimi podatki in zgoščenimi vrednostmi gesel. Omeniti velja, da to ni prvo uhajanje osebnih podatkov v APNIC – leta 2017 je bila baza Whois že javno dostopna, tudi zaradi spregleda zaposlenih.
V procesu uvajanja podpore za protokol RDAP, ki je namenjen zamenjavi protokola WHOIS, so sodelavci APNIC v oblačno shrambo Google Cloud postavili SQL dump podatkovne baze, ki se uporablja v storitvi Whois, vendar dostopa do njega niso omejili. Zaradi napake v nastavitvah je bil SQL dump javno dostopen tri mesece, to dejstvo pa je bilo razkrito šele 4. junija, ko je to opazil eden od neodvisnih varnostnih raziskovalcev in o težavi obvestil registrarja.
Izpis SQL je vseboval atribute »auth«, ki so vsebovali zgoščene vrednosti gesel za spreminjanje objektov vzdrževalca in ekipe za odzivanje na incidente (IRT), pa tudi nekaj občutljivih podatkov o strankah, ki niso prikazani v Whois med običajnimi poizvedbami (običajno dodatni kontaktni podatki in opombe o uporabniku) . V primeru obnovitve gesla so napadalci lahko spremenili vsebino polj s parametri lastnikov blokov naslovov IP v Whois. Objekt vzdrževalec definira osebo, ki je odgovorna za spreminjanje skupine zapisov, povezanih prek atributa "mnt-by", objekt IRT pa vsebuje kontaktne podatke za skrbnike, ki se odzovejo na obvestila o težavah. Podatki o uporabljenem algoritmu zgoščevanja gesel niso na voljo, vendar sta bila leta 2017 za zgoščevanje uporabljena zastarela algoritma MD5 in CRYPT-PW (8-mestna gesla z zgoščenimi vrednostmi, ki temeljijo na funkciji šifriranja UNIX).
Po identifikaciji incidenta je APNIC sprožil ponastavitev gesel za predmete v Whois. Na strani APNIC še ni bilo zaznati nobenih znakov nelegitimnih dejanj, vendar ni nobenih zagotovil, da podatki niso prišli v roke napadalcem, saj ni popolnih dnevnikov dostopa do datotek v Google Cloud. Tako kot po prejšnjem incidentu je APNIC obljubil, da bo opravil revizijo in spremenil tehnološke procese, da bi preprečil podobna uhajanja v prihodnje.
Vir: opennet.ru