The registrar APNIC, jawab distribusi alamat IP di wewengkon Asia-Pasifik, ngalaporkeun hiji kajadian salaku hasil tina hiji dump SQL sahiji layanan Whois, kaasup data rahasia na hashes sandi, dijieun sadia umum. Catet yén ieu sanés bocor data pribadi anu munggaran di APNIC - dina taun 2017, pangkalan data Whois parantos sayogi pikeun umum, ogé kusabab pangawasan staf.
Dina prosés ngawanohkeun rojongan pikeun protokol RDAP, dirancang pikeun ngaganti protokol WHOIS, karyawan APNIC nempatkeun hiji dump SQL tina database dipaké dina layanan Whois dina gudang awan Google Cloud, tapi teu ngawatesan aksés ka dinya. Kusabab kasalahan dina setélan, dump SQL sayogi umum pikeun tilu bulan sareng kanyataan ieu ngan ukur diungkabkeun dina 4 Juni, nalika salah sahiji panaliti kaamanan bebas ningali ieu sareng ngabéjaan ka registrar ngeunaan masalah éta.
SQL dump ngandung atribut "auth" ngandung hash sandi pikeun ngarobah objék Maintainer jeung Tim Tanggapan Kajadian (IRT), kitu ogé sababaraha émbaran customer sénsitip nu teu dipintonkeun dina Whois salila queries normal (biasana informasi kontak tambahan sarta catetan ngeunaan pamaké). . Dina kasus pamulihan sandi, panyerang tiasa ngarobih eusi sawah sareng parameter pamilik blok alamat IP di Whois. Obyék Maintainer ngahartikeun jalma anu tanggung jawab pikeun ngarobih grup rékaman anu dihubungkeun ngaliwatan atribut "mnt-by", sareng objék IRT ngandung inpormasi kontak pikeun pangurus anu ngabales bewara masalah. Inpormasi ngeunaan algoritma hashing sandi anu dianggo henteu disayogikeun, tapi dina taun 2017, algoritma MD5 sareng CRYPT-PW luntur (sandi 8 karakter sareng hashes dumasar kana fungsi crypt UNIX) dianggo pikeun hashing.
Saatos ngaidentipikasi kajadian éta, APNIC ngamimitian ngareset kecap konci pikeun objék dina Whois. Di sisi APNIC, teu acan aya tanda-tanda tindakan anu henteu sah, tapi teu aya jaminan yén datana henteu murag kana panyerang, sabab teu aya log aksés lengkep kana file dina Google Cloud. Salaku sanggeus kajadian saméméhna, APNIC jangji baris ngalakonan audit jeung nyieun parobahan prosés téhnologis pikeun nyegah leaks sarupa di mangsa nu bakal datang.
sumber: opennet.ru