Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, после модернизации инфраструктуры по недосмотру опубликовал хэши паролей в составе архива БД сервиса Whois, доступ к которому имели третьи лица в рамках специального соглашения. Утечка произошла в июне, но была обнаружена только 12 октября командой eBay Red Team, которая выявила наличие архива с хэшами в общедоступном виде на одном из публичных ресурсов.

В открытом доступе оказалось содержимое атрибута «auth», содержащего хэши паролей к объектам Maintainer и Incident Response Team (IRT). Объект Maintainer определяет лицо, ответственного за изменение группы запиcей, связанных через атрибут «mnt-by». Объект IRT содержит контактные данные администраторов, отвечающих на уведомления о проблемах.

Для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt), позволяющие при наличии должных инструментов подобрать для хэша пароль. В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois.

После выявления инцидента инициирован сброс паролей для всех объектов в Whois. APNIC продолжает изучение логов на предмет компрометации отдельных записей в базе данных при помощи восстановленных из хэшей паролей, но признаков нелегитимных действий пока не обнаружено.