Especialistas em cibersegurança divulgados em 10 de janeiro, a vulnerabilidade do sistema de segurança da ONU, com a ajuda de que eles conseguiram acessar registros pessoais de mais de 100.000 Programas das Nações Unidas sobre o meio ambiente.
A violação de dados ocorreu devido a diretórios abertos e credenciais do Git, para que os pesquisadores de segurança fossem capazes de clonar repositórios Git e coletar uma enorme quantidade de informações confidenciais relacionadas a mais de 100.000 funcionários da ONU.
Especialistas da equipe Sakura Samurai como parte do Programa de Vulnerabilidade da ONU começou a procurar erros e desvantagens da segurança associada aos sistemas de informações unidas de dados. Eles encontraram catálogos abertos do Git (.git) e credenciais do Git (. Credenciais-Credenciais) em domínios associados ao Programa Meio Ambiente das Nações Unidas e à Organização Internacional da ONU.
Especialistas conseguiram redefinir o conteúdo desses arquivos Git e clonar repositórios inteiros de * .ilo.org e * .unep.org domínios usando git-dumper.
Em .GIT O conteúdo do diretório inclui vários arquivos importantes: WordPress WP-Config.php Configuration Files, que permite obter credenciais de banco de dados de administrador. Da mesma forma, diferentes arquivos PHP, divulgação, dentro desse vazamento de dados, continha as credenciais de banco de dados no formulário aberto (relacionadas a outros sistemas on-line da ONU). Além disso, publicamente disponível. Credenciais-credenciais permitiu que os especialistas em cibersegurança acessem o código-fonte do programa UN-ambiente.
Usando dados contábeis, os pesquisadores aprenderam mais de 100 mil funcionários de diferentes sistemas da ONU. Os registros de dados obtidos como resultado da exploração da vulnerabilidade tiveram várias informações confidenciais sobre as viagens para a equipe da ONU, seus nomes e sobrenomes, números de identificação e muito mais.
Outras bancos de dados da ONU para os quais Sakura Samurai especialistas foram abordados como parte de sua pesquisa, permitiu que eles obtivessem várias informações de RH no pessoal da ONU (gênero, nacionalidade, tamanho salarial, etc.), bem como registros de fontes de financiamento de todos os tipos de Projetos da ONU, registros de empregados generalizados e relatórios de avaliação de emprego.
Sakura Samurai disse o seguinte: "Quando acabamos de começar a explorar os sistemas de informação da ONU, não assumimos que poderíamos fazer tudo. Dentro das primeiras horas de trabalho, já fomos capazes de obter muitos dados confidenciais e identificar vulnerabilidades críticas do sistema. Todos os dados que temos agora, fomos capazes de extrair cerca de 24 horas ".
Material mais interessante em cisoclub.ru. Inscreva-se: Facebook | Vk |.. Twitter | Instagram | Telegrama | Zen | Mensageiro | ICQ New | YouTube | Pulso.