近日,網路安全組織Sakura Samurai 披露了聯合國系統的一個安全漏洞,他們可以利用這一漏洞訪問聯合國環境署超10萬多份私人僱員記錄。
研究人員發現聯合國環境署和國際勞工組織有關網站的Git目錄(.git)和Git憑據檔案(.git-憑據)均可公開訪問。
也就意味著,黑客不僅能夠轉儲這些git檔案的內容,還能使用git-dumper從*.ilo.org和*.unep.org完全複製整個儲存庫,收集大量與環境署僱員相關的個人可識別資訊(PII)。
這個.git目錄包含眾多敏感檔案,如WordPress配置檔案(wp-config.php),公開管理員的資料庫憑據等,使研究員可輕鬆訪問環境署的原始碼庫。
公開的WordPress配置檔案.git聯合國域目錄
洩露的資訊還有一些PHP檔案,包含與環境署和聯合國勞工組織,以及其他線上系統相關的明文資料庫憑證。
利用這些證照,研究人員能夠從多個系統中提取10萬多份聯合國僱員記錄,包括:員工ID、姓名、員工組、旅行證明、開始日期和結束日期、批准狀態、目的地、停留時間等。
此外,研究員還獲取了數千名僱員的人力資源人口資料(國籍、性別、薪酬等級)、專案資金來源記錄、一般僱員記錄和就業評估報告等資訊。
2021年1月4日,研究人員將這些漏洞報告給聯合國。
聯合國資訊和通訊技術廳承認了這份報告,他們的DevOps小組已立即採取步驟修補該漏洞,目前正在對該漏洞進行影響評估。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com