Ang registrar ng APNIC, na responsable para sa pamamahagi ng mga IP address sa rehiyon ng Asia-Pacific, ay nag-ulat ng isang insidente bilang resulta kung saan ang isang SQL dump ng serbisyong Whois, kabilang ang kumpidensyal na data at mga hash ng password, ay ginawang available sa publiko. Kapansin-pansin na hindi ito ang unang pagtagas ng personal na data sa APNIC - noong 2017, ginawang available na sa publiko ang Whois database, dahil din sa pangangasiwa ng kawani.
Sa proseso ng pagpapakilala ng suporta para sa RDAP protocol, na idinisenyo upang palitan ang WHOIS protocol, ang mga empleyado ng APNIC ay naglagay ng SQL dump ng database na ginamit sa serbisyo ng Whois sa Google Cloud cloud storage, ngunit hindi pinaghigpitan ang pag-access dito. Dahil sa isang error sa mga setting, ang SQL dump ay magagamit sa publiko sa loob ng tatlong buwan at ang katotohanang ito ay nahayag lamang noong Hunyo 4, nang napansin ito ng isa sa mga independiyenteng mananaliksik ng seguridad at naabisuhan ang registrar tungkol sa problema.
Ang SQL dump ay naglalaman ng mga attribute na "auth" na naglalaman ng mga hash ng password para sa pagpapalit ng mga bagay ng Maintainer at Incident Response Team (IRT), pati na rin ang ilang sensitibong impormasyon ng customer na hindi ipinapakita sa Whois sa mga normal na query (karaniwan ay karagdagang impormasyon sa pakikipag-ugnayan at mga tala tungkol sa user) . Sa kaso ng pagbawi ng password, nagawang baguhin ng mga umaatake ang mga nilalaman ng mga field gamit ang mga parameter ng mga may-ari ng mga bloke ng IP address sa Whois. Tinutukoy ng object ng Maintainer ang taong responsable para sa pagbabago ng isang pangkat ng mga talaan na naka-link sa pamamagitan ng attribute na "mnt-by", at ang IRT object ay naglalaman ng impormasyon sa pakikipag-ugnayan para sa mga administrator na tumutugon sa mga notification ng problema. Ang impormasyon tungkol sa password hashing algorithm na ginamit ay hindi ibinigay, ngunit noong 2017, ang mga lumang MD5 at CRYPT-PW algorithm (8-character na password na may mga hash batay sa UNIX crypt function) ay ginamit para sa pag-hash.
Matapos matukoy ang insidente, sinimulan ng APNIC ang pag-reset ng mga password para sa mga bagay sa Whois. Sa panig ng APNIC, wala pang natukoy na senyales ng mga hindi lehitimong aksyon, ngunit walang mga garantiya na ang data ay hindi nahuhulog sa mga kamay ng mga umaatake, dahil walang kumpletong mga log ng access sa mga file sa Google Cloud. Tulad ng pagkatapos ng nakaraang insidente, nangako ang APNIC na magsasagawa ng audit at gagawa ng mga pagbabago sa mga teknolohikal na proseso upang maiwasan ang mga katulad na pagtagas sa hinaharap.
Pinagmulan: opennet.ru