自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

聯(lián)合國數(shù)據(jù)泄漏事件:超過10萬條環(huán)境署工作人員的隱私被泄漏

作者:gejigeji
安全
最近,研究人員披露了一個(gè)安全漏洞,攻擊者利用這些漏洞,可以訪問10萬多條聯(lián)合國環(huán)境規(guī)劃署(UNEP)的私人員工記錄。

最近,研究人員披露了一個(gè)安全漏洞,攻擊者利用這些漏洞,可以訪問10萬多條聯(lián)合國環(huán)境規(guī)劃署(UNEP)的私人員工記錄。

數(shù)據(jù)泄漏源于公開的Git目錄和憑據(jù),這使攻擊者可以復(fù)制Git存儲(chǔ)庫并收集與10萬多名員工相關(guān)的大量個(gè)人身份信息(PII)。

[[377129]]

Git目錄公開了WordPress DB和Git憑據(jù)

道德黑客與安全研究小組Sakura Samurai最近披漏了他們的漏洞發(fā)現(xiàn),這使他們可以訪問10萬多條聯(lián)合國環(huán)境規(guī)劃署(UNEP)員工的私人數(shù)據(jù)。

與BleepingComputer共享的文件和截圖提供了關(guān)于這個(gè)安全漏洞的性質(zhì)及其暴漏的所有細(xì)節(jié)。

Sakura Samurai的研究人員杰克遜·亨利,尼克·薩勒,約翰·杰克遜和奧布里·科特爾在接觸過聯(lián)合國“脆弱性披露計(jì)劃”和“信息安全名人堂”后,著手尋找影響聯(lián)合國系統(tǒng)的任何安全漏洞。

然后,他們?cè)谂c聯(lián)合國環(huán)境規(guī)劃署(UNEP)和聯(lián)合國國際勞工組織(ILO)相關(guān)的域名上發(fā)現(xiàn)了暴漏的Git目錄(. Git)和Git證書文件(. Git -credentials)。

研究人員能夠轉(zhuǎn)儲(chǔ)這些Git文件的內(nèi)容,并使用git-dumper從* .ilo.org和* .unep.org域復(fù)制整個(gè)存儲(chǔ)庫。

.git目錄的內(nèi)容包含敏感文件,例如WordPress配置文件(wp-config.php),這些文件公開了管理員的數(shù)據(jù)庫憑據(jù)。

聯(lián)合國數(shù)據(jù)泄漏事件:超過10萬條環(huán)境署工作人員的隱私被泄漏

在聯(lián)合國網(wǎng)域的公開.git目錄中找到WordPress配置文件

同樣,作為數(shù)據(jù)泄漏的一部分,不同的PHP文件包含了與環(huán)境署和聯(lián)合國勞工組織其他在線系統(tǒng)相關(guān)的明文數(shù)據(jù)庫憑據(jù)。

此外,可公開訪問的.git-credentials文件使研究人員可以使用環(huán)境署的源代碼庫。

超過10萬名雇員的數(shù)據(jù)可能隨時(shí)被竊取

使用這些憑據(jù),研究人員能夠從多個(gè)聯(lián)合國系統(tǒng)中竊取超過10萬名員工的私人信息。

該小組獲得的數(shù)據(jù)集公開了聯(lián)合國工作人員的旅行歷史,每行數(shù)據(jù)集包含:雇員ID,姓名,雇員組,旅行理由,開始和結(jié)束日期,批準(zhǔn)狀態(tài),目的地和停留時(shí)間。

聯(lián)合國數(shù)據(jù)泄漏事件:超過10萬條環(huán)境署工作人員的隱私被泄漏

研究人員提供的聯(lián)合國員工旅行記錄(超過10萬條記錄)

同樣,研究人員在分析過程中訪問的其他聯(lián)合國數(shù)據(jù)庫也公開了數(shù)千名員工的人力資源人口統(tǒng)計(jì)數(shù)據(jù)(國籍、性別、薪級(jí)),項(xiàng)目資金來源記錄,廣義員工記錄和就業(yè)評(píng)估報(bào)告。

聯(lián)合國數(shù)據(jù)泄漏事件:超過10萬條環(huán)境署工作人員的隱私被泄漏

編輯了7000多名聯(lián)合國雇員的人力資源統(tǒng)計(jì)數(shù)據(jù)

Sakura Samurai表示:

“當(dāng)我們開始研究聯(lián)合國的網(wǎng)絡(luò)安全時(shí),我們沒想到聯(lián)合國網(wǎng)站是如此脆弱。在幾個(gè)小時(shí)內(nèi),我們就得到了敏感數(shù)據(jù),并發(fā)現(xiàn)了漏洞??偟膩碚f,我們?cè)诓坏?4小時(shí)的時(shí)間里獲得了所有這些數(shù)據(jù)。我們總共發(fā)現(xiàn)了7對(duì)額外的證書,這可能導(dǎo)致多個(gè)數(shù)據(jù)庫的未授權(quán)訪問。當(dāng)能夠訪問通過私有項(xiàng)目中通過數(shù)據(jù)庫備份公開的PII,我們決定停止并報(bào)告此漏洞。”

攻擊者可能已經(jīng)訪問過這些數(shù)據(jù)

研究人員與BleepingComputer分享了一系列電子郵件,表明他們最初于2021年1月4日私下向聯(lián)合國報(bào)告了該漏洞。

聯(lián)合國信息和通信技術(shù)辦公室(OICT)最初承認(rèn)了他們的報(bào)告,但之后又回復(fù)到:

“報(bào)告的漏洞并不屬于聯(lián)合國秘書處,而是屬于國際勞工組織(International Labour Organization)。”

最終,根據(jù)這些研究人員的反饋意見,環(huán)境署企業(yè)解決方案主管已立即采取措施修補(bǔ)漏洞,并且正在進(jìn)行對(duì)該漏洞的影響評(píng)估。

眾所周知,聯(lián)合國多年來一直試圖修補(bǔ)其眾多的信息技術(shù)系統(tǒng),全球各地的很多情報(bào)機(jī)構(gòu)都很可能對(duì)侵入聯(lián)合國系統(tǒng)感興趣。

在2019年7月發(fā)起的一項(xiàng)目的明確的網(wǎng)絡(luò)攻擊活動(dòng)中,黑客組織入侵了聯(lián)合國在日內(nèi)瓦和維也納辦事處的IT系統(tǒng)。在事件發(fā)生之后聯(lián)合國并沒有立即公開本次攻擊事件,甚至沒有向員工披露該事件的性質(zhì)和受影響范圍。直到2020年,聯(lián)合國IT部門的高級(jí)官員才對(duì)外證實(shí)遭到了非常復(fù)雜的網(wǎng)絡(luò)攻擊,預(yù)估已經(jīng)有400GB的數(shù)據(jù)被泄露。

本文翻譯自:

https://www.bleepingcomputer.com/news/security/united-nations-data-breach-exposed-over-100k-unep-staff-records/

 

責(zé)任編輯:趙寧寧 來源: 嘶吼網(wǎng)
數(shù)據(jù)泄漏攻擊漏洞
相關(guān)推薦

2021-01-14 14:13:47

漏洞數(shù)據(jù)泄露加密

2025-03-07 11:17:09

2022-03-11 11:49:16

惡意電子郵件網(wǎng)絡(luò)釣魚

2024-07-22 16:34:25

2023-03-09 18:16:30

2021-12-23 10:24:39

黑客ID數(shù)據(jù)庫勒索軟件

2020-07-20 16:55:35

網(wǎng)絡(luò)安全疫情技術(shù)

2021-05-28 10:03:35

數(shù)據(jù)泄漏漏洞網(wǎng)絡(luò)攻擊

2015-11-11 10:55:19

數(shù)據(jù)中心安全工作人員

2021-06-17 12:51:07

數(shù)據(jù)泄漏漏洞網(wǎng)絡(luò)攻擊

2024-07-24 14:02:00

2021-04-04 22:39:50

Ubiquiti數(shù)據(jù)泄漏黑客

2012-01-05 10:25:04

2020-03-12 09:08:47

勒索軟件網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2022-10-11 15:09:09

數(shù)據(jù)中心VRAR

2019-05-17 10:10:30

優(yōu)衣庫黑客數(shù)據(jù)泄漏

2009-08-28 09:47:50

谷歌火災(zāi)

2009-06-09 09:02:33

魔獸關(guān)服默哀

2010-08-27 09:10:15

網(wǎng)絡(luò)隱私

2020-04-24 16:15:30

網(wǎng)絡(luò)攻擊詐騙世界衛(wèi)生組織
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)