นายทะเบียนของ APNIC ซึ่งรับผิดชอบในการกระจายที่อยู่ IP ในภูมิภาคเอเชียแปซิฟิก รายงานเหตุการณ์ที่เป็นผลจากการถ่ายโอนข้อมูล SQL ของบริการ Whois รวมถึงข้อมูลที่เป็นความลับและการแฮชรหัสผ่าน ได้รับการเปิดเผยต่อสาธารณะ เป็นที่น่าสังเกตว่านี่ไม่ใช่การรั่วไหลของข้อมูลส่วนบุคคลครั้งแรกใน APNIC - ในปี 2017 ฐานข้อมูล Whois ได้รับการเปิดเผยต่อสาธารณะแล้ว เนื่องจากการกำกับดูแลของเจ้าหน้าที่ด้วย
ในกระบวนการแนะนำการรองรับโปรโตคอล RDAP ซึ่งออกแบบมาเพื่อแทนที่โปรโตคอล WHOIS พนักงานของ APNIC ได้วาง SQL dump ของฐานข้อมูลที่ใช้ในบริการ Whois ในพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Cloud แต่ไม่ได้จำกัดการเข้าถึง เนื่องจากข้อผิดพลาดในการตั้งค่า การถ่ายโอนข้อมูล SQL จึงเปิดเผยต่อสาธารณะเป็นเวลาสามเดือนและความจริงนี้ถูกเปิดเผยในวันที่ 4 มิถุนายนเท่านั้น เมื่อหนึ่งในนักวิจัยด้านความปลอดภัยอิสระสังเกตเห็นสิ่งนี้และแจ้งให้นายทะเบียนทราบเกี่ยวกับปัญหา
การถ่ายโอนข้อมูล SQL มีแอตทริบิวต์ "auth" ที่มีแฮชรหัสผ่านสำหรับการเปลี่ยนออบเจ็กต์ Keeptainer และ Incident Response Team (IRT) รวมถึงข้อมูลลูกค้าที่ละเอียดอ่อนบางส่วนที่ไม่แสดงใน Whois ในระหว่างการสืบค้นตามปกติ (โดยปกติจะเป็นข้อมูลติดต่อเพิ่มเติมและหมายเหตุเกี่ยวกับผู้ใช้) . ในกรณีของการกู้คืนรหัสผ่าน ผู้โจมตีสามารถเปลี่ยนเนื้อหาของฟิลด์ด้วยพารามิเตอร์ของเจ้าของบล็อกที่อยู่ IP ใน Whois ออบเจ็กต์ Keeper กำหนดบุคคลที่รับผิดชอบในการแก้ไขกลุ่มของเรคคอร์ดที่เชื่อมโยงผ่านแอตทริบิวต์ "mnt-by" และออบเจ็กต์ IRT จะมีข้อมูลติดต่อสำหรับผู้ดูแลระบบที่ตอบสนองต่อการแจ้งเตือนปัญหา ไม่มีการระบุข้อมูลเกี่ยวกับอัลกอริธึมการแฮชรหัสผ่านที่ใช้ แต่ในปี 2017 อัลกอริธึม MD5 และ CRYPT-PW ที่ล้าสมัย (รหัสผ่าน 8 ตัวอักษรพร้อมแฮชตามฟังก์ชันการเข้ารหัส UNIX) ถูกนำมาใช้สำหรับการแฮช
หลังจากระบุเหตุการณ์ดังกล่าวแล้ว APNIC ก็เริ่มรีเซ็ตรหัสผ่านสำหรับอ็อบเจ็กต์ใน Whois ในด้าน APNIC ยังไม่พบสัญญาณของการกระทำที่ผิดกฎหมาย แต่ไม่มีการรับประกันว่าข้อมูลจะไม่ตกไปอยู่ในมือของผู้โจมตี เนื่องจากไม่มีบันทึกการเข้าถึงไฟล์ใน Google Cloud ที่สมบูรณ์ เช่นเดียวกับเหตุการณ์ก่อนหน้านี้ APNIC สัญญาว่าจะดำเนินการตรวจสอบและเปลี่ยนแปลงกระบวนการทางเทคโนโลยีเพื่อป้องกันการรั่วไหลที่คล้ายกันในอนาคต
ที่มา: opennet.ru