Säkerhetsforskare upptäckte och lyckades utnyttja en sårbarhet som gav dem tillgång till mer än 100.000 XNUMX privata register över anställda inom FN:s miljöprogram (UNEP). Upptäckten gjordes av forskningsgruppen Sakura Samurai för etisk hackning och säkerhet efter att dess medlemmar Jackson Henry, Nick Sahler, John Jackson och Aubrey Cottle träffat Vulnerability Disclosure Program Hall of Fame. FÖRENTA NATIONERNA. Medan de försökte hitta sårbarheter att rapportera till FN upptäckte forskare Git-kataloger (.git) och Git-referensfiler (.git-credentials) på domäner associerade med UNEP och FN:s internationella arbetsorganisation (ILO). Sakura Samurai dumpade sedan innehållet i dessa Git-filer och klonade hela arkiv med git-dumper. .git-katalogen innehöll känsliga filer, inklusive WordPress-konfigurationsfiler som avslöjade administratörens databasuppgifter. Flera av PHP-filerna som avslöjades i dataintrånget innehöll också referenser från oformaterad textdatabaser associerade med externa UNEP och UN-ILO onlinesystem. Slutligen tillät offentligt tillgängliga .git-credentials-filer forskare att komma åt UNEP:s källkodsbas.
FN-datakränkning
Datauppsättningen som erhölls av Sakura Samurai innehöll en stor mängd information om FN-personalens resehistorik, inklusive deras anställdas ID, namn, personalgrupper, syfte med resan, start- och slutdatum, godkännandestatus, destination och till och med vistelsens längd. I andra FN-databaser sökte forskarna HR-demografi, inklusive nationalitet, kön och lönenivå, för tusentals anställda, såväl som källregister. projektfinansiering, allmänna personalregister och arbetsutvärderingsrapporter. I ett blogginlägg förklarade Sakura Samurai-forskare att de kontaktade FN angående dataintrånget efter att ha fått tillgång till databassäkerhetskopior i privata projekt och sa: "I slutändan, när vi lärde oss GitHub-uppgifterna, kunde de ladda ner ett stort antal lösenordsskyddade och privata GitHub-projekt, och inom projekten hittade man olika uppsättningar databasinformation och applikationsidentifiering för UNEP:s produktionsmiljö. Totalt hittade vi ytterligare 7 autentiseringspar som kunde ha lett till obehörig åtkomst till olika databaser. Vi bestämde oss för att stoppa och rapportera denna sårbarhet när vi kunde komma åt den exponerade personliga informationen genom databassäkerhetskopiorna som fanns i de privata projekten. " Forskare avslöjade först sårbarheten för FN den 4 januari och organisationen kunde snabbt åtgärda säkerhetsproblemet på mindre än en vecka. Men cyberbrottslingar kan också ha kunnat få tillgång till dessa uppgifter om FN-anställda via BleepingComputer