最近,研究人员披露了一个安全漏洞,攻击者利用该漏洞获取了超过100,000名UNEP私人员工的记录。数据泄露源于暴露的Git目录和凭据,这使攻击者可以复制Git存储库并收集与100,000多名员工相关的大量个人身份信息(PII)。Git目录暴露了WordPress数据库和Git凭据道德黑客和安全研究小组SakuraSamurai最近透露了他们发现的一个漏洞,该漏洞允许他们访问联合国环境规划署(UNEP)员工的100,000多条私人数据。与BleepingComputer共享的文档和屏幕截图提供了有关安全漏洞的性质及其曝光方式的所有详细信息。SakuraSamurai研究人员JacksonHenry、NickSall、JohnJackson和AubreyCottle在受到联合国漏洞披露计划和信息安全名人堂的接洽后,着手寻找影响联合国系统的漏洞。任何安全漏洞。然后,他们在与联合国环境规划署(UNEP)和联合国国际劳工组织(ILO)相关的域中发现了泄露的Git目录(.Git)和Git凭据文件(.Git-credentials)。研究人员能够转储这些Git文件的内容,并使用git-dumper从*.ilo.org和*.unep.org域中复制整个存储库。.git目录的内容包含敏感文件,例如WordPress配置文件(wp-config.php),它暴露了管理员的数据库凭据。在UN域的公共.git目录中找到了WordPress配置文件。同样,作为数据泄露的一部分,各种PHP文件包含与联合国环境规划署和联合国国际劳工组织其他在线系统相关的明文数据库凭证。此外,可公开访问的.git-credentials文件允许研究人员使用UNEP源代码存储库。超过100,000名员工的数据随时可能被盗使用这些凭据,研究人员能够窃取多个联合国系统中超过100,000名员工的私人信息。团队获得的数据集公开了联合国工作人员的旅行历史,数据集中的每一行包含:员工ID、姓名、员工组、旅行原因、起止日期、审批状态、目的地和停留时间.研究人员提供的联合国工作人员旅行记录(超过100,000条记录)。同样,研究人员在分析期间访问的其他联合国数据库也披露了数千名员工的人力资源人口统计数据(国籍、性别、薪级)、项目资金来源记录、一般员工记录和就业评估报告。为7000多名联合国雇员编制人力资源统计数据的SakuraSamurai说:“当我们开始研究联合国的网络安全时,我们没想到联合国网站会如此脆弱。在几个小时内,我们就获得了敏感数据,并发现了漏洞总的来说,我们在不到24小时内获得了所有这些数据。我们总共发现了7对额外的凭据,这可能导致对多个数据库的未授权访问。当能够通过数据库备份暴露的私有项目访问时,我们已决定停止并报告此漏洞。”攻击者可能已经访问了数据研究人员与BleepingComputer分享了一系列电子邮件,表明他们最初于2021年1月4日私下向联合国报告了该漏洞。联合国信息和通信技术办公室(OICT)最初承认了他们的报告,但后来回复说:“报告的漏洞不属于联合国秘书处,而是属于国际劳工组织。”最终,根据这些研究人员的反馈,UNEP的企业解决方案总监已立即采取措施修补该漏洞,并正在进行该漏洞的影响评估。众所周知,联合国多年来一直试图修补其众多的IT系统,全球许多情报机构可能对侵入联合国系统感兴趣。在2019年7月发起的明确网络攻击活动中,黑客组织破坏了联合国日内瓦办事处和维也纳办事处的IT系统。联合国在事件发生后没有立即披露这次袭击事件,甚至没有向员工透露事件的性质和范围。直到2020年,联合国IT部门的高级官员才向外界证实,他们遭受了一次非常复杂的网络攻击,估计有400GB的数据被泄露。本文翻译自:https://www.bleepingcomputer.com/news/security/united-nations-data-breach-exposed-over-100k-unep-staff-records/
