Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

Дата: 11.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

Специалисты по кибербезопасности раскрыли 10 января уязвимость системы безопасности ООН, с помощью которой им удалось получить доступ к личным записям более 100 000 сотрудников Программы ООН по окружающей среде.

Нарушение данных произошло из-за открытых каталогов и учетных данных Git, благодаря чему исследователи безопасности смогли клонировать репозитории Git и собрать огромный объем конфиденциальной информации, связанной с более чем 100 000 сотрудниками ООН.

Специалисты из команды Sakura Samurai в рамках Программы раскрытия уязвимостей ООН начали искать ошибки и недостатки безопасности, связанные с информационными системами Организации объединенных данных. Ими были обнаружены открытые каталоги Git (.git) и файлы учетных данных Git (.git-credentials) в доменах, связанных с Программой ООН по окружающей среде и Международной организацией Труда ООН.

Специалистам удалось сбросить содержимое этих файлов Git и клонировать целые репозитории из доменов *.ilo.org и *.unep.org с использованием git-dumper.

Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

В .git содержимое каталога включает в себя различные важные файлы: WordPress файлы конфигурации WP-config.php, что позволяет получить учетные данные базы данных администратора. Точно так же, разные файлы PHP, раскрытия в рамках этой утечки данных, содержали учетные данные базы данных в открытом виде (связанные с иными онлайн системами ООН). Помимо этого, общедоступные файлы .git-credentials позволили экспертам по кибербезопасности получить доступ к базе исходного кода Программы ООН по окружающей среде.

Воспользовавшись учетными данными, исследователи извлекли личную информацию более 100 тыс. сотрудников из разных систем ООН. Записи данных, полученные в результате эксплуатации уязвимости, имели различную конфиденциальную информацию о поездках сотрудниках ООН, их имена и фамилии, идентификационные номера и многое другое.

Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

Другие базы данных ООН, к которым обращались специалисты Sakura Samurai в рамках своего исследования, позволили получить им различную HR-информацию о сотрудниках ООН (пол, национальность, размер заработной платы и т. д.), а также записи об источниках финансирования всевозможных проектов ООН, обобщенные записи о сотрудниках и отчеты об оценке занятости.

Исследователи безопасности смогли получить личные данные более 100 000 сотрудников ООН

В Sakura Samurai заявили следующее: «Когда мы только начали исследовать информационные системы ООН, мы не предполагали, что сможем всё это сделать. В течение нескольких первых часов работы мы уже смогли получить множество конфиденциальных данных и выявить критические уязвимости систем. Все данные, которые сейчас есть у нас, мы смогли извлечь примерно за 24 часа».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *