近日,网络安全组织Sakura Samurai 披露了联合国系统的一个安全漏洞,他们可以利用这一漏洞访问联合国环境署超10万多份私人雇员记录。
研究人员发现联合国环境署和国际劳工组织有关网站的Git目录(.git)和Git凭据文件(.git-凭据)均可公开访问。也就意味着,黑客不仅能够转储这些git文件的内容,还能使用git-dumper从*.ilo.org和*.unep.org完全复制整个存储库,收集大量与环境署雇员相关的个人可识别信息(PII)。这个.git目录包含众多敏感文件,如WordPress配置文件(wp-config.php),公开管理员的数据库凭据等,使研究员可轻松访问环境署的源代码库。泄露的信息还有一些PHP文件,包含与环境署和联合国劳工组织,以及其他在线系统相关的明文数据库凭证。利用这些证书,研究人员能够从多个系统中提取10万多份联合国雇员记录,包括:员工ID、姓名、员工组、旅行证明、开始日期和结束日期、批准状态、目的地、停留时间等。此外,研究员还获取了数千名雇员的人力资源人口数据(国籍、性别、薪酬等级)、项目资金来源记录、一般雇员记录和就业评估报告等信息。2021年1月4日,研究人员将这些漏洞报告给联合国。联合国信息和通信技术厅承认了这份报告,他们的DevOps小组已立即采取步骤修补该漏洞,目前正在对该漏洞进行影响评估。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458379473&idx=2&sn=2c9516b69cbf448540130b13ca61dff5&chksm=b180d45b86f75d4d3ecfb6d61a96cf7ba52c39b49c48ff42d361623a7bae733c48194cddef95#rd
如有侵权请联系:admin#unsafe.sh