聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士团队
道德 hacking 和安全研究组织 Sakura Samurai 的研究员披露了一个漏洞,可被用于访问联合国环境规划署 (UNEP) 超过10万名员工的个人记录。
这起数据泄露事件产生的原因在于被暴露的 Git 目录和凭据,它们可导致研究员克隆 Git 仓库并收集大量和 UNEP 员工相关的个人可识别信息。
01
左中括号
Git 目录暴露 WordPress DB 和 Git 凭据
左中括号
Sakura Samurai 公司的研究员 Jackson Henry、Nick Sahler、John Jackson 和 Aubrey Cottle 看到联合国的漏洞披露计划和信息安全名人堂后,决定开始查找影响联合国系统的安全缺陷,之后就从和 UNEP 和联合国国际劳动组织 (ILO) 相关的域名上发现了被暴露的 Git 目录 (.git) 和 Git 凭据文件 (.git-credentials) 。他们将这些 Git 文件中的内容转储下来并通过 git-dumper 从 *.ilo.org 和 *.unep.org 域名中克隆了整个仓库。
.git 目录内容由多种敏感文件组成,如 WordPress 配置文件 (wp-config.php) 暴露管理员的数据库凭据。而且这次事件还暴露了PHP 文件去,i中包括和 UNEP 和 UNILO其它在线系统相关的明文数据库凭据。另外,可公开访问的 .git-credentials 文件使得研究员可接触到 UNEP 的源代码库。
02
左中括号
含超10万名员工的记录
左中括号
研究人员通过使用这些凭据,从多个系统中提取了10万多名联合国员工的个人记录。
Sakura Samurai 组织获取的数据集暴露了联合国员工的旅行记录,每一行包含的数据有员工ID、姓名、员工组别、旅行证明、日期始末、批准状态、目的地和停留时长。
研究人员访问的其它联合国数据库中的内容包括人力资源统计的数千名员工的人口信息(国籍、性别、薪资级别)、项目资助来源记录、生成的员工记录和员工评估报告。
研究人员指出,“当我们开始研究联合国的系统时,并未想到会提升得如此之快。就在数小时内,我们已经找到敏感数据并找到了多个漏洞。总体而言,我们在不到24小时得时间内获取了所有这些数据。我们共发现7个其它凭据对,本可导致数据库遭越权访问。我们决定在能够访问经位于非公开项目中数据库备份而暴露的个人可识别信息后,停手并提交漏洞报告。”
03
左中括号
数据或已遭非法访问
左中括号
从研究人员共享的邮件可知,他们在2021年1月4日向联合国提交了漏洞报告。联合国信息和通信技术办公室最初证实该漏洞存在,但并未发现漏洞和 UNEP 之间存在关联,回应称,“所报告的漏洞不应提交给联合国秘书处,而应交给劳工组织。”研究人员指出,联合国之前就常常这么回复。
最终,UNEP 事业部解决方案主任 Saiful Ridwan 致谢研究员,同时表示 DevOps 团队已立即采取措施修复漏洞并正在评估漏洞影响。UNEP 在随后的邮件中指出正在准备数据泄露披露通告,但“由于之前并未这样做过,因此遇到一些挑战“。
研究人员指出,威胁行动者可能已经访问了该数据。
这并非联合国系统首次发生数据泄露事件。
2019年,联合国并未披露严重攻陷其网络和数据库的网络攻击活动。2020年,最终发布该事件并归咎于 SharePoint 漏洞遭利用。
推荐阅读
联合国通过审查“使用信息和通信技术的犯罪活动”的决议,美国不满
联合国 WordPress站点被曝路径和信息泄漏漏洞,数千份简历遭公开访问
原文链接
https://www.bleepingcomputer.com/news/security/united-nations-data-breach-exposed-over-100k-unep-staff-records/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
4243
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
