Бақайдгирандаи APNIC, ки барои тақсими суроғаҳои IP дар минтақаи Осиё ва ҳавзаи уқёнуси Ором масъул аст, дар бораи ҳодисае хабар дод, ки дар он партови Whois SQL дорои маълумоти ҳассос ва хэшҳои парол дастраси умум гардид. Қобили зикр аст, ки ин аввалин ихроҷи маълумоти шахсӣ дар APNIC нест - дар соли 2017, махзани Whois аллакай дар домени ҷамъиятӣ буд ва инчунин аз сабаби назорати кормандон.
Дар ҷараёни татбиқи дастгирии протоколи RDAP, ки барои иваз кардани протоколи WHOIS тарҳрезӣ шудааст, кормандони APNIC партови SQL-и махзани маълумотро дар хидмати Whois дар Google Cloud ҷойгир карданд, аммо дастрасиро ба он маҳдуд накарданд. Бар асари иштибоҳ дар танзимот, партови SQL дар тӯли се моҳ дастраси омма буд ва ин далел танҳо рӯзи 4 июн ошкор шуд, ки яке аз пажӯҳишгарони мустақили амниятӣ ба ин таваҷҷуҳро ҷалб карда, ба қайдгирро дар бораи мушкилот огоҳ кард.
Дар партовҳои SQL дорои атрибутҳои "auth", ки дорои хэшҳои парол барои тағир додани объектҳои Дастгоҳи вокуниш ба ҳодисаҳо (IRT) ва инчунин баъзе маълумоти ҳассос дар бораи муштариёне буданд, ки ҳангоми дархостҳои муқаррарӣ дар Whois намоиш дода намешаванд (одатан инҳо тафсилоти иловагӣ ва қайдҳои тамос мебошанд. дар бораи корбар). Дар сурати барқарор кардани парол, ҳамлагарон тавонистанд мундариҷаи майдонҳоро бо параметрҳои соҳибони блокҳои суроғаҳои IP дар Whois иваз кунанд. Объекти Maintainer шахси масъулро барои тағир додани гурӯҳи сабтҳои тавассути атрибути "mnt-by" алоқаманд муайян мекунад ва объекти IRT дорои тафсилоти тамоси маъмуроне мебошад, ки ба огоҳиҳои мушкилот ҷавоб медиҳанд. Маълумот дар бораи алгоритми хэшкунии парол, ки истифода мешавад, пешниҳод карда нашудааст, аммо дар соли 2017 алгоритмҳои кӯҳнашудаи MD5 ва CRYPT-PW (паролҳои 8 аломат бо хэшҳо дар асоси функсияи крипти UNIX) барои хэш истифода шуданд.
Пас аз ошкор шудани ин ҳодиса, APNIC барқароркунии паролҳоро барои объектҳо дар Whois оғоз кард. Дар тарафи APNIC, аломатҳои амалҳои ғайриқонунӣ ҳанӯз пайдо нашудаанд, аммо ҳеҷ кафолате нест, ки маълумот ба дасти вайронкорон наафтад, зеро дар Google Cloud сабтҳои дастрасии пурра ба файлҳо вуҷуд надоранд. Мисли пас аз ҳодисаи охирин, APNIC ваъда дод, ки аудит гузаронад ва ба равандҳои технологӣ тағйирот ворид кунад, то дар оянда чунин ихроҷҳо пешгирӣ карда шавад.
Манбаъ: opennet.ru