<div dir="ltr"><div dir="ltr">The PeeringDB Operations Committee has asked me to pass along the<br>following regarding a recent security incident:<br><br>  - Only a small percentage of PeeringDB Users and Organizations have API<br>    Keys configured. If you are not familiar with API Keys you can safely<br>    ignore the rest of this message. Details about API Keys are at:<br><br>      <a href="https://docs.peeringdb.com/howto/api_keys/" rel="noreferrer" target="_blank">https://docs.peeringdb.com/howto/api_keys/</a><br><br>  - Due to a bug in a recent code deployment to the Beta site<br>    (<a href="https://beta.peeringdb.com/" rel="noreferrer" target="_blank">https://beta.peeringdb.com/</a>) from approximately April 13th 2022 at<br>    0300 UTC until April 16th 2022 at 0100 UTC, there was exposure of API<br>    Keys to unrelated users in the form of a new HTTP Response Header.<br><br>  - This new response header is intended for logging purposes and a<br>    configuration is now in place to prevent it from going to clients. In<br>    addition, prior to this code being rolled to Production, it will be<br>    corrected to not confuse with unrelated users, nor include a full API<br>    Key in the logs.<br><br>  - If you or someone on your team used an API Key with<br>    <a href="https://beta.peeringdb.com/" rel="noreferrer" target="_blank">https://beta.peeringdb.com/</a> during the vulnerability time period, it<br>    is recommended that you revoke the key on the Production site<br>    <a href="https://www.peeringdb.com/" rel="noreferrer" target="_blank">https://www.peeringdb.com/</a> and the Beta site<br>    <a href="https://beta.peeringdb.com/" rel="noreferrer" target="_blank">https://beta.peeringdb.com/</a> and issue a new key for your software<br>    clients. (The Beta site is populated with a copy of the Production<br>    database during each Beta deploy.)<br><br>    User API Key revocation/issuance is performed at:<br><br>      <a href="https://www.peeringdb.com/profile" rel="noreferrer" target="_blank">https://www.peeringdb.com/profile</a><br>      <a href="https://beta.peeringdb.com/profile" rel="noreferrer" target="_blank">https://beta.peeringdb.com/profile</a><br><br>    while Organization API Key revocation/issuance is performed at your<br>    organization's parent object under "Manage" and then "API Keys".<br><br>  - Use of API Keys with the Production site <a href="https://www.peeringdb.com/" rel="noreferrer" target="_blank">https://www.peeringdb.com/</a><br>    has not resulted in any known compromise, so it is not necessary to<br>    change your keys if you or your client software have not used the Beta<br>    site.<br><br>  - The discovery was made by a member of the Operations Committee. It is<br>    unknown whether any keys used on Beta are now in the possession of<br>    unauthorized entities.<br><br>  - Additional details at: <a href="https://github.com/peeringdb/peeringdb/issues/1120" rel="noreferrer" target="_blank">https://github.com/peeringdb/peeringdb/issues/1120</a><br><br>  - Questions/concerns welcome at: <a href="mailto:pdb-ops@lists.peeringdb.com" target="_blank">pdb-ops@lists.peeringdb.com</a></div><div dir="ltr"><br clear="all"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><span style="color:rgb(34,34,34)">Leo Vegoda </span><div><span style="color:rgb(34,34,34)">PeeringDB Product Manager</span></div></div></div></div></div></div>