Cybersecurity-Experten, die am 10. Januar, der Sicherheitsanfälligkeit des UN-Sicherheitssystems, mit Hilfe, mit der sie gelungen waren, auf persönliche Aufzeichnungen von mehr als 100.000 US-amerikanischen Programm in der Umwelt zuzugreifen.
Die Datenverletzung ergab sich aufgrund offener Verzeichnisse und Git-Anmeldeinformationen, sodass Sicherheitsforscher Git-Repositorys klonen konnten, und sammeln eine Vielzahl von vertraulichen Informationen, die sich auf mehr als 100.000 UN-Mitarbeiter beziehen.
Spezialisten des Sakura Samurai-Teams im Rahmen des UN-Sicherheitsanfälligkeitsprogramms suchten nach Fehlern und Nachteilen der Sicherheit, die mit den Vereinigten Dateninformationssystemen verbunden sind. Sie fanden offene Git (.git) Kataloge und Git-Anmeldeinformationen (.git-Anmeldeinformationen) in Domänen, die mit dem Umweltprogramm der Vereinten Nationen und der UN-Internationalen Organisation verbunden sind.
Spezialisten gelang es, den Inhalt dieser Git-Dateien zurückzusetzen, und klonen vollständiges Repositorys von * .ilo.org und * .unep.org-Domänen mit GI-Dumper.
In Git Inhalt des Verzeichnisses enthält verschiedene wichtige Dateien: WordPress WP-config.php-Konfigurationsdateien, mit denen Sie eine Administrator-Datenbank-Anmeldeinformationen erhalten können. In ähnlicher Weise enthielten verschiedene PHP-Dateien, Offenbarung, in diesem Datenablauf die Datenbankanmeldeinformationen in der offenen Form (in Bezug auf andere Online-UN-Systeme). Darüber hinaus erlaubten öffentlich verfügbare .git-Anmeldeinformationen Cybersecurity-Experten, um auf den Quellcode des UN-Umwelt-Programms zuzugreifen.
Mit Bilanzierungsdaten haben Forscher mehr als 100 Tausend Mitarbeiter aus verschiedenen UN-Systemen gelernt. Die Datensätze, die aufgrund der Verwertung der Anfälligkeit erhalten wurden, hatten verschiedene vertrauliche Informationen über die Ausflüge zu den Mitarbeitern, deren Namen und Nachnamen, Identifikationsnummern und vielem mehr.
Andere UN-Datenbanken, mit denen Sakura Samurai-Spezialisten als Teil ihrer Forschung angesprochen wurden, durften sie verschiedene Personalinformationen über den UN-Mitarbeiter (Geschlecht, Nationalität, Gehaltsgröße usw.) sowie Aufzeichnungen von Finanzierungsquellen aller Art von UN-Projekte, verallgemeinerte Mitarbeiteraufzeichnungen und Beschäftigungsbewertungsberichte.
Sakura Samurai sagte Folgendes: "Als wir gerade angefangen haben, die UN-Informationssysteme zu erkunden, haben wir nicht davon ausgegangen, dass wir alles tun könnten. Innerhalb der ersten Stunden der Arbeit konnten wir bereits viele vertrauliche Daten erhalten und kritische Systemanfälligkeiten erkennen. Alle Daten, die wir jetzt haben, wir konnten ungefähr 24 Stunden extrahieren. "
Interessanteres Material auf cisoclub.ru. Abonnieren Sie uns: Facebook | Vk | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ NEU | YouTube | Impuls.