聯合國資料庫暴露,超10萬僱員資訊洩露
近日,網路安全組織Sakura Samurai 披露了聯合國系統的一個安全漏洞,他們可以利用這一漏洞訪問聯合國環境署超10萬多份私人僱員記錄。
研究人員發現聯合國環境署和國際勞工組織有關網站的Git目錄(.git)和Git憑據檔案(.git-憑據)均可公開訪問。
也就意味著,黑客不僅能夠轉儲這些git檔案的內容,還能使用git-dumper從*.ilo.org和*.unep.org完全複製整個儲存庫,收集大量與環境署僱員相關的個人可識別資訊(PII)。
這個.git目錄包含眾多敏感檔案,如WordPress配置檔案(wp-config.php),公開管理員的資料庫憑據等,使研究員可輕鬆訪問環境署的原始碼庫。
公開的WordPress配置檔案.git聯合國域目錄
洩露的資訊還有一些PHP檔案,包含與環境署和聯合國勞工組織,以及其他線上系統相關的明文資料庫憑證。
利用這些證照,研究人員能夠從多個系統中提取10萬多份聯合國僱員記錄,包括:員工ID、姓名、員工組、旅行證明、開始日期和結束日期、批准狀態、目的地、停留時間等。
此外,研究員還獲取了數千名僱員的人力資源人口資料(國籍、性別、薪酬等級)、專案資金來源記錄、一般僱員記錄和就業評估報告等資訊。
2021年1月4日,研究人員將這些漏洞報告給聯合國。
聯合國資訊和通訊技術廳承認了這份報告,他們的DevOps小組已立即採取步驟修補該漏洞,目前正在對該漏洞進行影響評估。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com
相關文章
- 微軟資料洩露暴露全球111個國家超6.5萬實體的客戶個人資訊微軟
- 防範重要資料和公民資訊洩露之資料庫安全資料庫
- 巴西銀行使用者暴露250GB資料洩露
- McMenamins 23年間的僱員資料洩露,最早可追溯到1998年
- 南非再曝資料庫洩露事件:致百萬人資訊大白資料庫事件
- 曼聯遭黑客入侵,球員資訊恐洩露!黑客
- 遊戲巨頭動視暴雪疑似員工敏感資訊及遊戲資料洩露遊戲
- 資訊洩露之web原始碼洩露Web原始碼
- 美國一資料庫洩露 近2億選民個人資訊曝光資料庫
- 熱搜爆了!學習通資料庫疑發生資訊洩露,超1.7億資料被非法售賣資料庫
- Google下自己 看看多少資訊被洩露–資料資訊圖Go
- 軟體商洩露280家商業夥伴僱員資訊,時代億信提醒您提高警惕!
- 世界上最大的資料洩露–資訊圖
- 大資料資訊時代,如何防止資料洩露,大資料防洩漏解決方案大資料
- 什麼是資料洩露?哪些問題可導致資料洩露
- 以明確大資料法律屬性遏制資訊洩露大資料
- 香港寬頻公司一資料庫被黑:38萬名客戶資訊恐洩露資料庫
- 深圳一AI公司人臉資料洩露,超256萬使用者敏感資訊在“裸奔”!AI
- 超過77000名Uber員工資料被公開,Uber今年第二次資料遭到洩露
- 超實用的企業防範資料洩露小技巧!
- 資訊洩露事件頻發,拷問AI時代的資料安全事件AI
- 比起黑客,員工無意識的資料洩露可能更可怕黑客
- Instagram平臺被黑 已超百萬使用者資訊洩露
- 擔心語料庫洩露?使用NLPIR
- DNS域傳送資訊洩露DNS
- 美國資料公司洩露4800萬網民資料:包含詳細個人資訊
- 一次資料庫洩露的解決經歷資料庫
- 從雲洩露事件談雲資料庫的攻防之道事件資料庫
- 順豐“客戶資訊洩露”事發,資料防洩密專家出招防“內鬼”
- 為什麼61%的CIO認為員工會惡意洩露資料
- 亞馬遜正調查員工因受賄而洩露資料的行為亞馬遜
- 資料洩露的隱性成本
- 三星電子核心技術遭洩露,涉事員工被解僱並移交調查
- 快遞員出售使用者資訊被判刑:如何防止快遞行業資訊洩露行業
- 安全研究人員發現中國網貸App漏洞洩露大量個人資訊APP
- 調研:中國超過85%的APP使用者資料遭受洩露!APP
- 波音6000名員工資料遭洩露,牽連美政府及軍方
- 如何防止內部人員誤操作和病毒導致的資料洩露