Msajili wa APNIC, anayehusika na usambazaji wa anwani za IP katika eneo la Asia-Pasifiki, aliripoti tukio ambalo matokeo yake utupaji wa SQL wa huduma ya Whois, ikiwa ni pamoja na data ya siri na heshi za nenosiri, ulitolewa kwa umma. Ni muhimu kukumbuka kuwa hii sio uvujaji wa kwanza wa data ya kibinafsi katika APNIC - mnamo 2017, hifadhidata ya Whois ilikuwa tayari imetolewa kwa umma, pia kwa sababu ya uangalizi wa wafanyikazi.
Katika mchakato wa kuanzisha usaidizi wa itifaki ya RDAP, iliyoundwa kuchukua nafasi ya itifaki ya WHOIS, wafanyakazi wa APNIC waliweka dampo la SQL la hifadhidata inayotumiwa katika huduma ya Whois katika hifadhi ya wingu ya Google, lakini hawakuzuia ufikiaji wake. Kwa sababu ya hitilafu katika mipangilio, dampo la SQL lilipatikana hadharani kwa miezi mitatu na ukweli huu ulifunuliwa tu mnamo Juni 4, wakati mmoja wa watafiti wa usalama wa kujitegemea aliona hili na kumjulisha msajili kuhusu tatizo.
Tupa la SQL lilikuwa na sifa za "auth" zilizo na heshi za nenosiri za kubadilisha vipengee vya Timu ya Majibu ya Msimamizi na Matukio (IRT), pamoja na baadhi ya taarifa nyeti za mteja ambazo hazionyeshwi kwa Whois wakati wa maswali ya kawaida (kwa kawaida maelezo ya ziada ya mawasiliano na madokezo kuhusu mtumiaji) . Katika kesi ya kurejesha nenosiri, washambuliaji waliweza kubadilisha yaliyomo kwenye mashamba na vigezo vya wamiliki wa vitalu vya anwani za IP katika Whois. Kipengee cha Mtunzaji kinafafanua mtu anayehusika na kurekebisha kundi la rekodi zilizounganishwa kupitia sifa ya "mnt-by", na kipengee cha IRT kina maelezo ya mawasiliano ya wasimamizi wanaojibu arifa za tatizo. Taarifa kuhusu algoriti ya hashing iliyotumiwa haijatolewa, lakini mwaka wa 2017, algoriti zilizopitwa na wakati za MD5 na CRYPT-PW (nenosiri zenye herufi 8 zenye heshi kulingana na kipengele cha utendakazi cha siri cha UNIX) zilitumika kwa kuharakisha.
Baada ya kutambua tukio, APNIC ilianzisha uwekaji upya wa manenosiri ya vitu katika Whois. Kwa upande wa APNIC, hakuna dalili za vitendo visivyo halali bado zimegunduliwa, lakini hakuna dhamana kwamba data haikuanguka mikononi mwa washambuliaji, kwa kuwa hakuna kumbukumbu kamili za upatikanaji wa faili kwenye Wingu la Google. Kama baada ya tukio la awali, APNIC iliahidi kufanya ukaguzi na kufanya mabadiliko kwa michakato ya kiteknolojia ili kuzuia uvujaji kama huo katika siku zijazo.
Chanzo: opennet.ru