道德黑客违反联合国，获得100,000条私人记录+分析

研究人员告知组织一个漏洞，该漏洞通过组织的漏洞披露程序暴露了GitHub凭据。

安全研究人员成功地入侵了联合国，在通过组织的漏洞披露程序通知联合国有关问题之前，访问了用户凭证和个人身份信息（PII），其中包括100,000多名私人雇员和项目记录。

研究小组Sakura Samurai的道德黑客使用了GitHub目录中的一个漏洞，该漏洞暴露了WordPress DB和GitHub凭据，从而允许从联合国环境计划署（UNEP）访问大量私人记录。

研究人员在报告中写道，研究人员杰克逊·亨利，尼克·萨勒，约翰·杰克逊和奥布里·科特尔发现了漏洞，原因是该团队决定努力寻找联合国漏洞披露计划和名人堂的参赛者，并最终确定了暴露这些证书的端点。

他们写道：“这些凭证使我们能够下载Git存储库，识别大量的用户凭证和PII。” “我们总共确定了超过10万个私人员工记录。我们还在联合国拥有的Web服务器[ilo.org]上发现了多个公开的.git目录，然后可以使用各种工具（如'git-dumper'）来提取.git内容。”

研究人员能够访问其违反的大量敏感的联合国信息，包括102,000个旅行记录；7,000多项人力资源国籍人口统计记录；超过1000条广义员工记录；4,000多个项目和资金来源记录；和283个项目的评估报告。

记录中显示的数据包括姓名，身份证号码，国籍，性别，薪级和与联合国雇员有关的大量其他个人信息，以及联合国环境规划署各个项目的身份证号码，位置和融资金额，以及资金来源和其他具体细节。

除了通过与Git有关的漏洞访问记录之外，研究人员“在严重程度较小的方面”还接管了属于国际劳工组织（ILO）的SQL数据库和调查管理程序。但是，他们写道，这些漏洞“几乎没有什么突出之处”，而数据库和平台却“自然而然地被抛弃了”。

研究人员观察到：“尽管如此，平台上的数据库接管和管理员帐户接管仍然是关键漏洞。”

研究人员在他们的帖子中解释说，访问SQL数据库也很重要，因为它是发现GitHub凭据和最终记录记录的门户。他们说，他们最初是通过对联合国公开计划范围内的所有领域进行子域枚举来开始探索的。

他们写道：“在研究期间，我们开始使用工具对多个端点进行模糊处理，并最初发现ilo.org子域具有公开的.git内容。” “使用git-dumper [ https [：// ] github [。] com / arthaud / git-dumper ]，我们能够转储Web应用程序上托管的项目文件夹，由于代码中公开了凭据，因此导致MySQL数据库和测量管理平台的接管。”

他们说，在研究人员接管国际劳工组织MySQL数据库并随后在调查管理平台上执行帐户接管之后，他们开始枚举其他域/子域。

研究人员写道：“最终，我们在联合国环境规划署（sic）上找到了一个子域，该子域使我们在经过一番摸索之后即可发现GitHub凭证。”

他们说，最终，一旦他们发现了GitHub凭证，研究人员便可以下载许多受密码保护的私有GitHub项目，并在其中找到针对联合国环境规划署生产环境的多组数据库和应用程序凭证。

研究人员写道：“总共，我们发现了七个额外的证书对，它们可能导致未经授权的多个数据库访问。” 那时他们决定停止工作并报告漏洞。

联合国对黑客入侵并不陌生，而不仅仅是道德黑客。去年7月，黑客通过在明显的间谍活动中利用Microsoft SharePoint漏洞破坏了联合国，据报道，攻击者可以访问估计400 GB的敏感数据。该黑客直到大约六个月后才被披露。

然后，大约一年前，直到Sakura Samurai披露之日，Emotet恶意软件背后的运营商针对联合国人员进行了一次攻击，目的是提供TrickBot木马。

执行摘要

我们注意到，联合国有一个漏洞披露程序和一个名人堂，因此我们的安全研究小组Sakura Samurai桜の侍者着手寻找要向联合国报告的漏洞。在研究过程中，Jackson Henry @ JacksonHHax，Nick Sahler，John Jackson @johnjhacking和Aubrey Cottle @Kirtaner确定了暴露Git凭证的端点。这些凭据使我们能够下载Git存储库，从而识别大量用户凭据和PII。总共，我们识别出超过10万个私人员工记录。我们还在联合国拥有的Web服务器[ilo.org]上发现了多个公开的.git目录，然后可以使用各种工具（例如“ git-dumper”）来提取.git内容。

暴露的PII

旅行记录[两个文件：102,000多个记录]

差旅记录包括员工ID号，姓名，员工组，差旅理由，开始和结束日期，停留时间，批准状态，目的地和停留时间。

人力资源国籍人口统计[两个文件：7,000多个记录]

包括员工姓名，员工组，员工ID号，人员国籍，人员性别，员工薪资等级，组织单位标识号和组织单位文本标签。

通用员工记录[一个文档：1,000多个记录]

索引号，员工姓名，员工电子邮件，员工工作分区和员工组织单位。注意：带有“红色数字1”的列代表员工的特定工作部门，并且由于某些子单元较小而变得模糊。

项目和资金来源记录[一个文档：4,000多个记录]

包括项目标识号，受影响地区，赠款和共同出资金额，执行机构，国家，资金来源，项目期限以及是否批准了项目/概念。

评估报告[一份文件：283个项目]

评估和报告的总体描述，进行的时期以及项目报告的链接。

技术评估

此外，在严重程度较小的方面，我们设法接管了属于国际劳工组织的SQL数据库和调查管理平台-也在联合国的VDP计划范围内。但是，值得注意的是，由于数据库和调查管理平台本质上已被完全抛弃并且几乎没有使用任何东西，因此国际劳工组织的漏洞并不突出。尽管如此，平台上的数据库接管和管理员帐户接管仍然是关键漏洞。

我们已经对联合国提供的VDP范围内的所有域进行了子域枚举。在我们的研究中，我们开始用工具模糊多个端点，并最初发现ilo.org子域具有公开的.git内容。通过使用git-dumper [ https://github.com/arthaud/git-dumper ]，我们能够转储Web应用程序上托管的项目文件夹，从而由于暴露的凭证而导致MySQL数据库和调查管理平台的接管在代码中。

MySQL凭证

注意：由于应用程序的特定性质，我们将不提供调查平台的图片。

在我们接管了国际劳工组织的一个MySQL数据库并在调查管理平台上进行了帐户接管之后，我们开始列举其他域/子域。

最终，我们在联合国环境规划署的子域中找到了一个子域，该子域使我们在经过一番摸索之后即可发现github凭据。

最终，一旦我们找到了GitHub凭据，便能够下载许多受密码保护的私有GitHub项目，并且在这些项目中，我们找到了针对联合国环境规划署生产环境的多组数据库和应用程序凭据。总共，我们发现了另外7对凭据对，它们可能导致未经授权访问多个数据库。一旦我们能够访问通过私有项目中的数据库备份公开的PII，我们决定停止并报告此漏洞。

本文始发于微信公众号（Ots安全）：道德黑客违反联合国，获得100,000条私人记录+分析