文末新年福利|高达10万名联合国员工信息被暴露!

E安全1月14日讯  据报道,网络安全研究人员透露,他们只花了几个小时就“成功”访问了超过10万份属于联合国雇员的个人记录和证书等信息。

来自樱花武士(Sakura Samurai)的一个团队决定根据联合国的漏洞披露计划(vulnerability disclosure program)寻找漏洞,并将其报告给联合国,首先探查了在范围内的多个端点。
据樱花武士创始人约翰·杰克逊说,该网站最初为联合国机构国际劳工组织(ILO)找到了一个暴露的子域名。这让他们可以访问Git凭证,他们用它接管了一个遗留的MySQL数据库和一个调查管理平台。这些凭证的泄露是通过git-dump工具完成的。
尽管这些资产“几乎没有任何用处”,研究人员随后发现了一个与联合国环境规划署(UNEP)有关的暴露的子领域,这是一个更大的隐私风险。杰克逊解释说:“最终,一旦我们发现了GitHub的证书,我们就能够下载大量私有密码保护的GitHub项目,在这些项目中,我们发现了多套用于联合国环境规划署生产环境的数据库和应用程序证书。”

“总共,我们发现了另外7个凭证,它们可能导致未经授权的多个数据库访问。”

该团队总共发现了超过10万份员工记录,包括姓名、身份证号码、性别、薪酬等级、旅行明细记录、工作分区和部门、评估报告和资金来源记录。

联合国经常是民族国家攻击者的目标,其网络安全问题在过去也经常被发现不足。一年前有消息称,数百gb的内部数据在2019年被攻击者窃取,其中可能包括有关人权活动人士的高度敏感信息。有争议的是,该组织本身似乎利用其外交豁免权来对这一事件保密。

幸运的是,这一次,据信联合国迅速修补了相关漏洞,并保护了暴露的数据。

重磅福利

携手E安全  共赴2021安全年

经历了2020,终于迎来崭新的2021~

小E感谢你们一如既往的支持与关注!

值此佳际,小E将放送
重!磅!新年好礼~

  参与方式:

在评论区留言

点赞20个,获得礼品1

点赞30个,获得礼品2

点赞50个,获得礼品3

小tip:快邀请好友为你的留言点赞吧~

注:本文由E安全编译报道,转载请注原文地址

https://www.easyaq.com

(0)

相关推荐