Експертите за сајбер-безбедноста откриени на 10 јануари, ранливоста на безбедносниот систем на ОН, со помош на која успеале да пристапат до лична евиденција за повеќе од 100.000 програми на Обединетите нации за животната средина.
Повреда на податоци се случило поради отворени директориуми и гит ингеренции, така што истражувачите на безбедноста биле во можност да клонираат репозитории на ГИТ и да соберат огромни количини доверливи информации поврзани со повеќе од 100.000 вработени во ОН.
Специјалисти од тимот на Сакура Самурај, како дел од програмата за ранливост на ОН, почнаа да бараат грешки и недостатоци на безбедноста поврзана со Обединетите информациски системи. Тие најдоа каталози за отворени Git (.git) и ингеренции на Git (.git-acquardens) во домени поврзани со Програмата за животна средина на Обединетите нации и Меѓународната организација на ОН.
Специјалистите успеале да ја ресетираат содржината на овие Git датотеки и клонирани кон складишта од * .ilo.org и * .unep.org домени со користење на Git-Dumper.
Во .git содржината на директориумот вклучува различни важни датотеки: WordPress WP-CONFIG.PHP конфигурациски датотеки, што ви овозможува да добиете администраторски бази на податоци ингеренции. Слично на тоа, различни PHP-датотеки, откривање, во рамките на овие податоци истекување, ги содржи базата на податоци за ингеренциите во отворената форма (поврзани со други онлајн системи на ОН). Покрај тоа, јавно достапни .git-ингеренциите им дозволија на експертите за сајбер-безбедноста да пристапат до изворниот код на програмата за ОН-животната средина.
Користејќи ги сметководствените податоци, истражувачите научиле повеќе од 100 илјади вработени од различни системи на ОН. Евиденцијата за податоци добиени како резултат на експлоатацијата на ранливоста имаше различни доверливи информации за патувањата на персоналот на ОН, нивните имиња и презимиња, идентификациски броеви и многу повеќе.
Другите бази на податоци на ОН на кои специјалистите на Сакура Самурај беа адресирани како дел од нивното истражување, им овозможија да ги добијат разните информации за човечки ресурси на персоналот на ОН (пол, националност, големина на плата итн.), Како и евиденција за извори на финансирање на сите видови на сите видови на сите видови на сите видови Проекти на ОН, генерализирани записи за вработените и извештаи за евалуација на вработените.
Сакура Самурај рече: "Кога само што почнавме да ги истражуваме информативните системи на ОН, не претпоставувавме дека можеме да го сториме сето тоа. Во првите неколку часови на работа, веќе сме во можност да добиеме многу доверливи податоци и да ги идентификуваме критичните системски слабости. Сите податоци што ги имаме сега, ние бевме во можност да извлечеме околу 24 часа. "
Повеќе интересен материјал на cisoclub.ru. Претплатете се на нас: Фејсбук | VK | Твитер | Instagram | Телеграма | Зен | Messenger | ICQ New | YouTube | Пулс.