据一组独立安全研究人员称,联合国环境规划署(简称“环境署”)所属GitHub库的一个漏洞暴露了超过10万条员工记录,包括个人身份信息、联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一个新的道德黑客组织Sakura Samurai在其报告中指出,这些漏洞源于一个暴露GitHub存储库凭证的终端。
“这些凭证让我们有能力下载GitHub库,识别出大量的用户凭证和个人身份信息。我们总共识别了超过10万条私人员工记录。”该小组的安全研究人员之一John Jackson说。
分析还显示,在联合国拥有的名为ilo.org的网络服务器上有多个.Git目录。Jackson在报告中写道:“这些.Git内容就可以用各种工具(如'git-dumper')进行外泄。”
据Sakura Samurai报道,在研究人员将他们的发现通知给联合国后,该国际组织修复了该漏洞,GitHub库已无法访问。目前无法立即联系到联合国发言人发表评论。研究人员还指出,虽然没有证据表明有威胁行为者访问了这些数据,但这样做相对容易。
“最终,一旦我们发现了GitHub凭证,我们就能够下载很多受密码保护的私人GitHub项目,在这些项目中,我们发现了UNEP生产环境的多套数据库和应用凭证,”Jackson指出。
暴露的数据包括超过102000条联合国员工的记录,包括员工的身份证号码、姓名和其他敏感数据。报告称,还可以访问7000多条员工国籍记录、1000多条普通员工记录、项目和资金数据以及环境署项目的评估记录。
研究人员还指出,他们能够找到更多U.N.GitHub库的凭证,这可能导致更多未经授权的访问多个U.N.数据库。“我们决定停止并报告这个漏洞,一旦我们能够访问通过数据库备份暴露的私人项目中的(个人身份信息),”Jackson写道。
GitHub存储库中暴露的员工数据可能会给联合国带来重大的网络威胁。“对员工数据泄露的主要担忧是,在对员工本身以及与他们互动的任何商业伙伴进行高度针对性的后续社会工程攻击时有用,”安全公司Cerberus Sentinel的解决方案架构副总裁Chris Clements说。
“所披露的管理凭证很可能已经足以损害脆弱的应用程序以及共享相同基础设施或重用相同密码的其他应用程序。拥有这种访问权限的攻击者可以将恶意软件插入生产应用程序中,试图感染用户。”
安全公司KnowBe4的安全意识倡导者Javvad Malik表示,攻击者可能会使用这些暴露的数据。“获得对员工潜在敏感信息的访问权限,可以通过网络钓鱼、密码重置或身份窃取来利用对组织、同事或个人本身的攻击,”Malik说。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理