サイバーセキュリティの専門家は、1月10日に開示されています。
セキュリティ研究者がGitリポジトリを複製し、100,000人以上の国連スタッフに関連する膨大な量の機密情報を集めることができたように、データ違反が発生しました。
国連脆弱性プログラムの一環としてのさくらサムライチームの専門家たちは、ユナイテッドデータ情報システムに関連するセキュリティのエラーと短所を探し始めました。国連環境プログラムと国際組織に関連するドメインでOpen Git(.git)カタログとGit認証情報(.git-credentialss)が見つかりました。
専門家は、git-dumperを使用してこれらのGITファイルの内容をリセットし、* .ilo.orgと* .onep.orgドメインからリポジトリ全体をクローンしました。
ディレクトリの内容にはさまざまな重要なファイルが含まれています.Wordpress wp-config.php設定ファイル。管理者データベースの資格情報を取得できます。同様に、異なるPHPファイル、開示は、このデータ漏洩の中で、(他のオンラインUNシステムに関する)Openフォームのデータベース認証情報を含んでいました。さらに、公に利用可能な.git-Credentialsは、CybereCurityの専門家が環境保全プログラムのソースコードにアクセスできました。
会計データを使用して、研究者は異なる国連システムから100万人以上の従業員を学びました。脆弱性の悪用の結果として得られたデータレコードは、国連スタッフへの旅行に関するさまざまな機密情報、それらの名前、姓、識別番号などを持っていました。
サクラサムライスペシャリストが彼らの研究の一環として対処された他の国連データベースは、彼らが国連スタッフ(ジェンダー、国籍、給与サイズなど)に関するさまざまなHR情報、ならびにあらゆる種類の資金源の記録を得ることを可能にした。国連プロジェクト、一般化従業員記録と雇用評価報告
さくらサムライは次のように述べました:「国連情報システムの探検始めたとき、私たちはそれをすべてできると仮定しませんでした。最初の数時間の仕事以内に、私たちはすでに多くの機密データを入手し、重要なシステムの脆弱性を識別することができました。私たちが今持っているすべてのデータは、約24時間を抽出することができました。」
CISOCLUB.RUのより興味深い材料。私たちを購読する:Facebook | VK | Twitter | Instagramの|テレグラム|禅|メッセンジャー| ICQ NEW | YouTube |パルス。