Badacze bezpieczeństwa odkryli i z powodzeniem wykorzystali lukę, która dała im dostęp do ponad 100.000 XNUMX prywatnych danych pracowników Programu Narodów Zjednoczonych ds. Ochrony Środowiska (UNEP). Odkrycia dokonała grupa Sakura Samurai zajmująca się etycznym hakowaniem i badaniami nad bezpieczeństwem po tym, jak jej członkowie Jackson Henry, Nick Sahler, John Jackson i Aubrey Cottle spotkali się z Galerią sław programu Vulnerability Disclosure Program Hall of Fame. ORGANIZACJA NARODÓW ZJEDNOCZONYCH. Próbując znaleźć luki w zabezpieczeniach, aby zgłosić je do ONZ, badacze odkryli katalogi Git (.git) i pliki danych uwierzytelniających Git (.git-credentials) w domenach powiązanych z UNEP i Międzynarodową Organizacją Pracy ONZ (ILO). Sakura Samurai następnie zrzucił zawartość tych plików Git i sklonował całe repozytoria za pomocą git-dumper. Katalog .git zawierał wrażliwe pliki, w tym pliki konfiguracyjne WordPressa, które ujawniały poświadczenia bazy danych administratora. Kilka plików PHP ujawnionych w wyniku naruszenia danych zawierało również poświadczenia z baz danych w postaci zwykłego tekstu powiązanych z zewnętrznymi systemami online UNEP i UN-ILO. Wreszcie, publicznie dostępne pliki .git-credentials umożliwiły naukowcom dostęp do bazy kodów źródłowych UNEP.
Naruszenie danych ONZ
Zbiór danych uzyskany przez Sakura Samurai zawierał dużą ilość informacji o historii podróży personelu ONZ, w tym identyfikatory pracowników, nazwiska, grupy pracowników, cel podróży, daty rozpoczęcia i zakończenia, status zatwierdzenia, miejsce docelowe, a nawet długość pobytu. W innych bazach danych Organizacji Narodów Zjednoczonych badacze przeszukali dane demograficzne HR, w tym narodowość, płeć i poziom wynagrodzeń, tysięcy pracowników, a także zapisy źródłowe. finansowanie projektów, ogólne akta pracownicze i raporty z oceny pracy. W poście na blogu badacze Sakura Samurai wyjaśnili, że skontaktowali się z ONZ w sprawie naruszenia danych po uzyskaniu dostępu do kopii zapasowych baz danych w prywatnych projektach, mówiąc: „Ostatecznie, kiedy poznaliśmy dane uwierzytelniające GitHub, byliśmy w stanie pobrać dużą liczbę chronionych hasłem i prywatnych projektów GitHub, a w ramach projektów znalazło różne zestawy informacji bazodanowych i identyfikacji aplikacji dla środowiska produkcyjnego UNEP. W sumie znaleźliśmy 7 dodatkowych par danych uwierzytelniających, które mogły prowadzić do nieautoryzowanego dostępu do różnych baz danych. Postanowiliśmy zatrzymać tę lukę i zgłosić ją, gdy tylko uzyskamy dostęp do ujawnionych danych osobowych za pośrednictwem kopii zapasowych baz danych, które znajdowały się w projektach prywatnych. " Badacze po raz pierwszy ujawnili tę lukę ONZ 4 stycznia, a organizacja była w stanie szybko naprawić problem bezpieczeństwa w mniej niż tydzień. Jednak cyberprzestępcy mogli również uzyskać dostęp do tych danych o pracownikach ONZ za pośrednictwem BleepingComputer