Asya-Pasifik bölgesindeki IP adreslerinin dağıtımından sorumlu olan APNIC kayıt şirketi, gizli veriler ve şifre karmaları da dahil olmak üzere Whois hizmetinin SQL dökümünün kamuya açık hale getirilmesiyle sonuçlanan bir olay bildirdi. Bunun APNIC'deki ilk kişisel veri sızıntısı olmaması dikkat çekicidir; 2017'de Whois veritabanı, yine personelin gözetimi nedeniyle zaten kamuya açık hale getirilmişti.
WHOIS protokolünün yerini alacak şekilde tasarlanan RDAP protokolü desteğinin tanıtılması sürecinde APNIC çalışanları, Whois hizmetinde kullanılan veritabanının bir SQL dökümünü Google Cloud bulut depolama alanına yerleştirdi ancak buna erişimi kısıtlamadı. Ayarlardaki bir hata nedeniyle SQL dökümü üç ay boyunca halka açıktı ve bu gerçek ancak 4 Haziran'da bağımsız güvenlik araştırmacılarından birinin bunu fark etmesi ve kayıt şirketine sorun hakkında bilgi vermesiyle ortaya çıktı.
SQL dökümü, Bakımcı ve Olay Müdahale Ekibi (IRT) nesnelerini değiştirmek için şifre karmalarını içeren "auth" niteliklerinin yanı sıra normal sorgular sırasında Whois'te görüntülenmeyen bazı hassas müşteri bilgilerini (genellikle kullanıcı hakkında ek iletişim bilgileri ve notlar) içeriyordu. . Şifre kurtarma durumunda saldırganlar, Whois'teki IP adresi bloklarının sahiplerinin parametreleriyle alanların içeriğini değiştirebildi. Bakımcı nesnesi, "mnt-by" özelliği aracılığıyla bağlanan bir grup kaydı değiştirmekten sorumlu kişiyi tanımlar ve IRT nesnesi, sorun bildirimlerine yanıt veren yöneticiler için iletişim bilgilerini içerir. Kullanılan şifre karma algoritması hakkında bilgi verilmemiştir, ancak 2017 yılında karma için eski MD5 ve CRYPT-PW algoritmaları (UNIX crypt işlevini temel alan karmalara sahip 8 karakterli parolalar) kullanılmıştır.
Olayı tespit ettikten sonra APNIC, Whois'teki nesnelerin şifrelerini sıfırlama işlemini başlattı. APNIC tarafında henüz herhangi bir yasa dışı eylem belirtisi tespit edilmedi ancak Google Cloud'daki dosyalara erişime ilişkin tam günlükler bulunmadığından verilerin saldırganların eline geçmediğine dair bir garanti de yok. Önceki olaydan sonra olduğu gibi APNIC, gelecekte benzer sızıntıları önlemek için bir denetim yapma ve teknolojik süreçlerde değişiklik yapma sözü verdi.
Kaynak: opennet.ru