Regjistruesi i APNIC, përgjegjës për shpërndarjen e adresave IP në rajonin e Azi-Paqësorit, raportoi një incident si rezultat i të cilit një deponim SQL i shërbimit Whois, duke përfshirë të dhënat konfidenciale dhe hash fjalëkalimet, u bë i disponueshëm publikisht. Vlen të përmendet se kjo nuk është rrjedhja e parë e të dhënave personale në APNIC - në vitin 2017, baza e të dhënave Whois tashmë është vënë në dispozicion të publikut, edhe për shkak të mbikëqyrjes së stafit.
Në procesin e prezantimit të mbështetjes për protokollin RDAP, i krijuar për të zëvendësuar protokollin WHOIS, punonjësit e APNIC vendosën një depo SQL të bazës së të dhënave të përdorur në shërbimin Whois në ruajtjen e cloud të Google Cloud, por nuk kufizuan aksesin në të. Për shkak të një gabimi në cilësimet, deponia SQL ishte e disponueshme për publikun për tre muaj dhe ky fakt u zbulua vetëm më 4 qershor, kur një nga studiuesit e pavarur të sigurisë e vuri re këtë dhe njoftoi regjistruesin për problemin.
Deponia SQL përmbante atribute "auth" që përmbajnë hash fjalëkalimi për ndryshimin e objekteve të Mirëmbajtjes dhe Ekipit të Reagimit ndaj Incidentit (IRT), si dhe disa informacione të ndjeshme të klientit që nuk shfaqen në Whois gjatë pyetjeve normale (zakonisht informacion shtesë kontakti dhe shënime rreth përdoruesit) . Në rastin e rikuperimit të fjalëkalimit, sulmuesit ishin në gjendje të ndryshonin përmbajtjen e fushave me parametrat e pronarëve të blloqeve të adresave IP në Whois. Objekti Maintainer përcakton personin përgjegjës për modifikimin e një grupi regjistrimesh të lidhura përmes atributit "mnt-by" dhe objekti IRT përmban informacionin e kontaktit për administratorët që përgjigjen ndaj njoftimeve të problemit. Informacioni në lidhje me algoritmin e hashimit të fjalëkalimit të përdorur nuk jepet, por në vitin 2017, algoritmet e vjetëruara MD5 dhe CRYPT-PW (fjalëkalime me 8 karaktere me hash bazuar në funksionin e kriptit UNIX) u përdorën për hash.
Pas identifikimit të incidentit, APNIC nisi një rivendosje të fjalëkalimeve për objektet në Whois. Nga ana e APNIC, ende nuk janë zbuluar shenja të veprimeve të paligjshme, por nuk ka garanci që të dhënat të mos binin në duart e sulmuesve, pasi nuk ka regjistra të plotë të aksesit në skedarë në Google Cloud. Ashtu si pas incidentit të mëparshëm, APNIC premtoi të kryejë një auditim dhe të bëjë ndryshime në proceset teknologjike për të parandaluar rrjedhje të ngjashme në të ardhmen.
Burimi: opennet.ru