Откриха сериозна уязвимост в системите на ООН

Откриха сериозна уязвимост в системите на ООН

Изследователи по сигурността са открили и успешно използвали уязвимост, която им е дала достъп до над 100 000 регистри на частни служители, принадлежащи към Програмата на ООН за околната среда (UNEP).

Откритието е направено от групата по изследователско и етично хакерство и сигурност Sakura Samurai, след като нейните членове Джаксън Хенри, Ник Салер, Джон Джаксън и Обри Котъл са се натъкнали на Програмата на ООН за разкриване на уязвимости.

Опитвайки се да намерят уязвимости, които да докладват на ООН, изследователите са се натъкнали на изложени Git директории (.git) и Git идентификационни файлове в домейни, свързани с UNEP и Международната организация на труда към ООН (ILO). След това от Sakura Samurai са изтеглили съдържанието на тези Git файлове и са клонирали цели хранилище с помощта на git-dumper.

Въпросните .git директории съдържат чувствителни файлове, включително конфигурационни файлове на WordPress, които излагат идентификационните данни на базата данни на администратора. Редица PHP файлове, изложени в компрометирането на данните, също съдържат идентификационни данни под формата на чист текст, свързани с външни онлайн системи както на UNEP, така и на UN ILO. И накрая, публично достъпните файлове .git-credentials дадоха на изследователите достъп до базата на изходния код на UNEP.

Компрометиране на данни на ООН

Наборът от данни, получен от Sakura Samurai, съдържа богат набор от информация за историята на пътуванията на служителите на ООН, включително личните им данни, имената, групите служители, основанията на техните пътувания, началната и крайната дата, статуса на одобрение, дестинацията и дори продължителността на престоя.

В други бази данни на ООН изследователите са получили достъп до демографски данни за човешките ресурси, включително националност, пол и степен на заплащане, за хиляди служители, както и досиета на източниците на финансиране на проекти, обобщени записи на служители и доклади за оценка на заетостта.

В публикация в блога си изследователите от Sakura Samurai обясняват, че са се свързали с ООН относно компрометирането данните след получен достъп до резервни копия на бази данни в частни проекти, казвайки:

„В крайна сметка, след като открихме идентификационните данни, успяхме да изтеглим много данни от частни проекти, защитени с парола, като в рамките на тях намерихме множество набори от идентификационни данни за бази данни и приложения за производствената среда на UNEP. Общо открихме 7 допълнителни двойки идентификационни данни, които биха могли да доведат до неоторизиран достъп до множество бази данни. Решихме да спрем и да докладваме тази уязвимост.“

Източник: www.kaldata.com