Cybersecurity Fakulo malkaŝis la 10-an de januaro, la UN-sekurecan sisteman vundeblecon, kun la helpo, ke ili sukcesis aliri personajn diskojn de pli ol 100.000 Unuiĝintaj Nacioj-Programo pri la Medio.
Datuma malobservo okazis pro malfermaj dosierujoj kaj git-akreditaĵoj, tiel ke sekurecaj esploristoj povis kloni git-deponejojn kaj kolekti grandegan kvanton da konfidencaj informoj ligitaj al pli ol 100.000 UN-dungitaro.
Specialistoj de la Sakura Samurai-teamo kiel parto de la UN-vundeca programo komencis serĉi erarojn kaj malavantaĝojn de sekureco asociitaj kun United-informaj sistemoj. Ili trovis Open Git (.Git) katalogoj kaj git-akreditaĵoj (.Git-akreditaĵoj) en domajnoj asociitaj kun la Unuiĝintaj Nacioj-Programo kaj la Internacia Organizo UN.
Specialistoj sukcesis restarigi la enhavon de ĉi tiuj git-dosieroj kaj kloni tutajn deponejojn de * .ilo.org kaj * .unep.ords uzanta git-dumper.
En .git-enhavoj de la dosierujo inkluzivas diversajn gravajn dosierojn: agordaj dosieroj de WordPress WP-Config.php, kiuj permesas vin ricevi akreditaĵojn pri administranto. Simile, malsamaj PHP-dosieroj, malkaŝado, ene de ĉi tiu datuma fugo, enhavis la datumbazajn akreditaĵojn en la malferma formo (rilataj al aliaj interretaj UN-sistemoj). Krome, publike haveblaj. Ciferecaj akreditaĵoj permesis spertulojn pri cibersekureco aliri la fontkodon de la UN-medio-programo.
Uzi librotenajn datumojn, esploristoj lernis pli ol 100 mil dungitojn de malsamaj UN-sistemoj. La datumaj registroj akiritaj kiel rezulto de la ekspluatado de la vundebleco havis diversajn konfidencajn informojn pri la vojaĝoj al UN-dungitaro, iliaj nomoj kaj familinomoj, identigaj nombroj kaj multe pli.
Aliaj UN-datumbazoj al kiuj Sakura Samurai-specialistoj estis traktitaj kiel parto de ilia esplorado, permesis al ili akiri ilin diversaj HR-informoj pri dungitaro de UN (sekso, nacieco, salajra grandeco, ktp.), Kaj ankaŭ registroj pri financaj fontoj de ĉiaj specoj de UN-projektoj, ĝeneraligitaj raportoj pri dungitoj kaj dungaj pritaksaj raportoj.
Sakura Samurai diris la sekvan: "Kiam ni ĵus komencis esplori la UN-informajn sistemojn, ni ne supozis, ke ni povus fari ĉion. En la unuaj kelkaj horoj da laboro, ni jam povis akiri multajn konfidencajn datumojn kaj identigi kritikajn vundeblojn. Ĉiuj datumoj, kiujn ni nun havas, ni povis ĉerpi ĉirkaŭ 24 horojn. "
Pli interesa materialo pri Cisoclub.ru. Abonu nin: Facebook | Vk | Twitter | Instagram | Telegramo | Zen | Messenger | ICQ New | YouTube | Pulso.