Οι εμπειρογνώμονες του Cybersecurity που αποκαλύπτονται στις 10 Ιανουαρίου, η ευπάθεια του συστήματος ασφαλείας του ΟΗΕ, με τη βοήθεια της οποίας κατάφεραν να έχουν πρόσβαση σε προσωπικά αρχεία άνω των 100.000 προγραμμάτων των Ηνωμένων Εθνών για το περιβάλλον.
Παρουσιάστηκε παραβίαση των δεδομένων λόγω των ανοικτών καταλόγων και των διαπιστευτηρίων GIT, έτσι ώστε οι ερευνητές ασφαλείας να μπορούν να κλωνοποιηθούν τα αποθετήρια GIT και να συγκεντρώσουν ένα τεράστιο ποσό εμπιστευτικών πληροφοριών που σχετίζονται με περισσότερα από 100.000 άτομα του ΟΗΕ.
Οι ειδικοί από την ομάδα Sakura Samurai ως μέρος του προγράμματος ευπάθειας του ΟΗΕ άρχισαν να αναζητούν σφάλματα και μειονεκτήματα της ασφάλειας που σχετίζονται με τα ενωμένα συστήματα πληροφοριών δεδομένων. Βρήκαν ανοικτές καταλόγους GIT (.git) και διαπιστευτήρια GIT (.git-Cretientents) σε τομείς που σχετίζονται με το πρόγραμμα Περιβάλλοντος των Ηνωμένων Εθνών και τον Διεθνή Οργανισμό του ΟΗΕ.
Οι ειδικοί κατάφεραν να επαναφέρουν τα περιεχόμενα αυτών των αρχείων GIT και κλώνο ολόκληρα τα αποθετήρια από * .ilo.org και * .unep.org Domains χρησιμοποιώντας git-dumper.
Σε ένα περιεχόμενο του καταλόγου του καταλόγου περιλαμβάνει διάφορα σημαντικά αρχεία: WordPress WP-Config.php αρχεία διαμόρφωσης, η οποία σας επιτρέπει να λάβετε διαπιστευτήρια βάσης δεδομένων διαχειριστή. Ομοίως, διαφορετικά αρχεία PHP, αποκάλυψη, μέσα σε αυτή τη διαρροή δεδομένων, περιείχαν τα διαπιστευτήρια της βάσης δεδομένων στην ανοικτή μορφή (που σχετίζονται με άλλα online συστήματα ΟΗΕ). Επιπλέον, διαθέσιμα στο κοινό .git-πιστοποιητικά επέτρεψαν στους εμπειρογνώμονες στον κυβερνοχώρο να έχουν πρόσβαση στον πηγαίο κώδικα του προγράμματος UN-ENGRESS.
Χρησιμοποιώντας τα λογιστικά δεδομένα, οι ερευνητές έχουν μάθει περισσότερους από 100 χιλιάδες υπάλληλοι από διαφορετικά συστήματα των Ηνωμένων Εθνών. Τα αρχεία δεδομένων που λαμβάνονται ως αποτέλεσμα της εκμετάλλευσης της ευπάθειας είχαν διάφορες εμπιστευτικές πληροφορίες σχετικά με τα ταξίδια στο προσωπικό του ΟΗΕ, τα ονόματά τους και τα επώνυμα, τους αριθμούς αναγνώρισης και πολλά άλλα.
Άλλες βάσεις δεδομένων των Ηνωμένων Εθνών στις οποίες απευθύνονται οι ειδικοί της Sakura Samurai στο πλαίσιο της έρευνάς τους, τους επέτρεψαν να τις αποκτήσουν διάφορες πληροφορίες για το προσωπικό του ΟΗΕ (φύλο, εθνικότητα, μέγεθος μισθού κ.λπ.), καθώς και αρχεία των πηγών χρηματοδότησης όλων των ειδών Έργα του ΟΗΕ, γενικευμένα αρχεία υπαλλήλων και εκθέσεις αξιολόγησης της απασχόλησης.
Ο Sakura Samurai δήλωσε τα εξής: «Όταν άρχισα να διερευνήσουμε τα συστήματα πληροφοριών του ΟΗΕ, δεν υποθέτουμε ότι θα μπορούσαμε να το κάνουμε όλα. Εντός των πρώτων ωρών εργασίας, έχουμε ήδη μπορέσει να αποκτήσουμε πολλά εμπιστευτικά δεδομένα και να εντοπίσουμε κρίσιμα τρωτά σημεία συστήματος. Όλα τα δεδομένα που έχουμε τώρα έχουμε, ήμασταν σε θέση να εξαγάγαμε περίπου 24 ώρες. "
Πιο ενδιαφέρον υλικό στο cisoclub.ru. Εγγραφείτε σε εμάς: Facebook | Vk | Twitter | Instagram | Τηλεγράφημα | Zen | Αγγελιοφόρος | Icq νέα | YouTube | Σφυγμός.