Специалисты по кибербезопасности раскрыли 10 января уязвимость системы безопасности ООН, с помощью которой им удалось получить доступ к личным записям более 100 000 сотрудников Программы ООН по окружающей среде.
Нарушение данных произошло из-за открытых каталогов и учетных данных Git, благодаря чему исследователи безопасности смогли клонировать репозитории Git и собрать огромный объем конфиденциальной информации, связанной с более чем 100 000 сотрудниками ООН.
Специалисты из команды Sakura Samurai в рамках Программы раскрытия уязвимостей ООН начали искать ошибки и недостатки безопасности, связанные с информационными системами Организации объединенных данных. Ими были обнаружены открытые каталоги Git (.git) и файлы учетных данных Git (.git-credentials) в доменах, связанных с Программой ООН по окружающей среде и Международной организацией Труда ООН.
Специалистам удалось сбросить содержимое этих файлов Git и клонировать целые репозитории из доменов *.ilo.org и *.unep.org с использованием git-dumper.
В .git содержимое каталога включает в себя различные важные файлы: WordPress файлы конфигурации WP-config.php, что позволяет получить учетные данные базы данных администратора. Точно так же, разные файлы PHP, раскрытия в рамках этой утечки данных, содержали учетные данные базы данных в открытом виде (связанные с иными онлайн системами ООН). Помимо этого, общедоступные файлы .git-credentials позволили экспертам по кибербезопасности получить доступ к базе исходного кода Программы ООН по окружающей среде.
Воспользовавшись учетными данными, исследователи извлекли личную информацию более 100 тыс. сотрудников из разных систем ООН. Записи данных, полученные в результате эксплуатации уязвимости, имели различную конфиденциальную информацию о поездках сотрудниках ООН, их имена и фамилии, идентификационные номера и многое другое.
Другие базы данных ООН, к которым обращались специалисты Sakura Samurai в рамках своего исследования, позволили получить им различную HR-информацию о сотрудниках ООН (пол, национальность, размер заработной платы и т. д.), а также записи об источниках финансирования всевозможных проектов ООН, обобщенные записи о сотрудниках и отчеты об оценке занятости.
В Sakura Samurai заявили следующее: «Когда мы только начали исследовать информационные системы ООН, мы не предполагали, что сможем всё это сделать. В течение нескольких первых часов работы мы уже смогли получить множество конфиденциальных данных и выявить критические уязвимости систем. Все данные, которые сейчас есть у нас, мы смогли извлечь примерно за 24 часа».
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
