拥有SakuraSamurai的安全研究人员发现了UNEP子域上暴露的GitHub凭据,使他们能够访问大量数据,包括超过100,000条员工记录(下图)。近日,SakuraSamurai的安全人员在研究属于联合国漏洞披露计划范围内的资产安全漏洞时,发现了一个ilo.org子域,该子域暴露了大量Git账户信息。泄露的信息允许未经授权的访问接管SQL数据库并在ILO的调查管理平台上执行帐户接管。尽管存在严重的漏洞,这两种资产都已被遗弃,几乎没有有用的数据。然而,在进一步探测之后,研究人员能够访问泄露GitHub凭据的UNEP子域,并能够访问和下载“许多受密码保护的私人GitHub项目”。SakuraSamurai指出,这些项目包含多个数据库以及UNEP生产环境的应用凭证。总共验证了7个凭证对,提供对更多数据库的未授权访问。在其中一个文件中,研究人员确定了两个包含102,000条员工旅行记录的文件。这些记录包括姓名、员工ID号、员工组、旅行原因、旅行开始和结束日期、批准状态、停留时间和目的地。研究人员还发现了两份文件,其中一份包含7000多个HR国籍人口统计记录(上图),包括员工姓名和组、身份证号码、员工的国籍和性别、员工薪资等级以及工作单位识别号码和单位文本标签.在另一份文件中发现了1000多个通用员工记录,包括编号、员工姓名和电子邮件以及员工工作子区域。另一份文件披露了4000多条项目和资金来源记录(上图),包括受影响地区、赠款和共同资助金额、资金来源、项目标识号、执行机构、国家、项目期限和批准状态。包含评估报告的文件中有关283个项目的信息,包括评估和报告的一般描述、评估进行的时期以及报告的链接。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
