ఆసియా-పసిఫిక్ ప్రాంతంలో IP చిరునామాల పంపిణీకి బాధ్యత వహించే APNIC రిజిస్ట్రార్, రహస్య డేటా మరియు పాస్వర్డ్ హ్యాష్లతో సహా Whois సేవ యొక్క SQL డంప్ పబ్లిక్గా అందుబాటులో ఉంచబడిన ఒక సంఘటనను నివేదించారు. ఇది APNICలో వ్యక్తిగత డేటా లీక్ కావడం గమనార్హం - 2017లో, సిబ్బంది పర్యవేక్షణ కారణంగా హూయిస్ డేటాబేస్ ఇప్పటికే పబ్లిక్గా అందుబాటులోకి వచ్చింది.
WHOIS ప్రోటోకాల్ను భర్తీ చేయడానికి రూపొందించబడిన RDAP ప్రోటోకాల్కు మద్దతును పరిచయం చేసే ప్రక్రియలో, APNIC ఉద్యోగులు Whois సేవలో ఉపయోగించిన డేటాబేస్ యొక్క SQL డంప్ను Google క్లౌడ్ క్లౌడ్ స్టోరేజ్లో ఉంచారు, కానీ దానికి ప్రాప్యతను పరిమితం చేయలేదు. సెట్టింగ్లలో లోపం కారణంగా, SQL డంప్ మూడు నెలల పాటు పబ్లిక్గా అందుబాటులో ఉంది మరియు స్వతంత్ర భద్రతా పరిశోధకులలో ఒకరు దీనిని గమనించి, సమస్య గురించి రిజిస్ట్రార్కు తెలియజేసినప్పుడు మాత్రమే జూన్ 4న ఈ వాస్తవం వెల్లడైంది.
SQL డంప్లో Maintainer మరియు Incident Response Team (IRT) ఆబ్జెక్ట్లను మార్చడానికి పాస్వర్డ్ హ్యాష్లను కలిగి ఉన్న "auth" గుణాలు ఉన్నాయి, అలాగే సాధారణ ప్రశ్నల సమయంలో Whoisలో ప్రదర్శించబడని కొన్ని సున్నితమైన కస్టమర్ సమాచారం (సాధారణంగా అదనపు సంప్రదింపు సమాచారం మరియు వినియోగదారు గురించి గమనికలు) . పాస్వర్డ్ రికవరీ విషయంలో, హూయిస్లోని IP చిరునామా బ్లాక్ల యజమానుల పారామితులతో ఫీల్డ్ల కంటెంట్లను దాడి చేసేవారు మార్చగలిగారు. మెయింటెయినర్ ఆబ్జెక్ట్ "mnt-by" లక్షణం ద్వారా లింక్ చేయబడిన రికార్డ్ల సమూహాన్ని సవరించడానికి బాధ్యత వహించే వ్యక్తిని నిర్వచిస్తుంది మరియు IRT ఆబ్జెక్ట్ సమస్య నోటిఫికేషన్లకు ప్రతిస్పందించే నిర్వాహకుల కోసం సంప్రదింపు సమాచారాన్ని కలిగి ఉంటుంది. ఉపయోగించిన పాస్వర్డ్ హ్యాషింగ్ అల్గారిథమ్ గురించి సమాచారం అందించబడలేదు, అయితే 2017లో, పాత MD5 మరియు CRYPT-PW అల్గారిథమ్లు (UNIX క్రిప్ట్ ఫంక్షన్ ఆధారంగా హ్యాష్లతో కూడిన 8-అక్షరాల పాస్వర్డ్లు) హ్యాషింగ్ కోసం ఉపయోగించబడ్డాయి.
సంఘటనను గుర్తించిన తర్వాత, హూయిస్లోని వస్తువుల కోసం APNIC పాస్వర్డ్ల రీసెట్ను ప్రారంభించింది. APNIC వైపు, చట్టవిరుద్ధమైన చర్యల సంకేతాలు ఇంకా కనుగొనబడలేదు, అయితే Google క్లౌడ్లో ఫైల్లకు పూర్తి యాక్సెస్ లాగ్లు లేనందున, దాడి చేసేవారి చేతుల్లోకి డేటా పడదనే హామీలు లేవు. మునుపటి సంఘటన తర్వాత, APNIC ఆడిట్ నిర్వహించి, భవిష్యత్తులో ఇలాంటి లీక్లను నిరోధించడానికి సాంకేతిక ప్రక్రియలలో మార్పులు చేస్తామని హామీ ఇచ్చింది.
మూలం: opennet.ru