СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
11.01.2021
#Dev#ИБ

Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

Специалисты по кибербезопасности раскрыли 10 января уязвимость системы безопасности ООН, с помощью которой им удалось получить доступ к личным записям более 100 000 сотрудников Программы ООН по окружающей среде.

Нарушение данных произошло из-за открытых каталогов и учетных данных Git, благодаря чему исследователи безопасности смогли клонировать репозитории Git и собрать огромный объем конфиденциальной информации, связанной с более чем 100 000 сотрудниками ООН.

Специалисты из команды Sakura Samurai в рамках Программы раскрытия уязвимостей ООН начали искать ошибки и недостатки безопасности, связанные с информационными системами Организации объединенных данных. Ими были обнаружены открытые каталоги Git (.git) и файлы учетных данных Git (.git-credentials) в доменах, связанных с Программой ООН по окружающей среде и Международной организацией Труда ООН.

Специалистам удалось сбросить содержимое этих файлов Git и клонировать целые репозитории из доменов *.ilo.org и *.unep.org с использованием git-dumper.

В .git содержимое каталога включает в себя различные важные файлы: WordPress файлы конфигурации WP-config.php, что позволяет получить учетные данные базы данных администратора. Точно так же, разные файлы PHP, раскрытия в рамках этой утечки данных, содержали учетные данные базы данных в открытом виде (связанные с иными онлайн системами ООН). Помимо этого, общедоступные файлы .git-credentials позволили экспертам по кибербезопасности получить доступ к базе исходного кода Программы ООН по окружающей среде.

Воспользовавшись учетными данными, исследователи извлекли личную информацию более 100 тыс. сотрудников из разных систем ООН. Записи данных, полученные в результате эксплуатации уязвимости, имели различную конфиденциальную информацию о поездках сотрудниках ООН, их имена и фамилии, идентификационные номера и многое другое.

Другие базы данных ООН, к которым обращались специалисты Sakura Samurai в рамках своего исследования, позволили получить им различную HR-информацию о сотрудниках ООН (пол, национальность, размер заработной платы и т. д.), а также записи об источниках финансирования всевозможных проектов ООН, обобщенные записи о сотрудниках и отчеты об оценке занятости.

В Sakura Samurai заявили следующее: «Когда мы только начали исследовать информационные системы ООН, мы не предполагали, что сможем всё это сделать. В течение нескольких первых часов работы мы уже смогли получить множество конфиденциальных данных и выявить критические уязвимости систем. Все данные, которые сейчас есть у нас, мы смогли извлечь примерно за 24 часа».

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: