文末新年福利|高达10万名联合国员工信息被暴露!

admin
admin
admin
138985
文章
114
评论
2021年1月14日09:34:05评论35 views字数 1111阅读3分42秒阅读模式

文末新年福利|高达10万名联合国员工信息被暴露!

E安全1月14日讯  据报道,网络安全研究人员透露,他们只花了几个小时就成功访问了超过10万份属于联合国雇员的个人记录和证书等信息


文末新年福利|高达10万名联合国员工信息被暴露!


来自樱花武士(Sakura Samurai)的一个团队决定根据联合国的漏洞披露计划(vulnerability disclosure program)寻找漏洞,并将其报告给联合国,首先探查了在范围内的多个端点。

据樱花武士创始人约翰·杰克逊说,该网站最初为联合国机构国际劳工组织(ILO)找到了一个暴露的子域名。这让他们可以访问Git凭证,他们用它接管了一个遗留的MySQL数据库和一个调查管理平台。这些凭证的泄露是通过git-dump工具完成的。

尽管这些资产“几乎没有任何用处”,研究人员随后发现了一个与联合国环境规划署(UNEP)有关的暴露的子领域,这是一个更大的隐私风险。杰克逊解释说:“最终,一旦我们发现了GitHub的证书,我们就能够下载大量私有密码保护的GitHub项目,在这些项目中,我们发现了多套用于联合国环境规划署生产环境的数据库和应用程序证书。”

 

文末新年福利|高达10万名联合国员工信息被暴露!


“总共,我们发现了另外7个凭证,它们可能导致未经授权的多个数据库访问。”

 

该团队总共发现了超过10万份员工记录,包括姓名、身份证号码、性别、薪酬等级、旅行明细记录、工作分区和部门、评估报告和资金来源记录。

 

文末新年福利|高达10万名联合国员工信息被暴露!


联合国经常是民族国家攻击者的目标,其网络安全问题在过去也经常被发现不足。一年前有消息称,数百gb的内部数据在2019年被攻击者窃取,其中可能包括有关人权活动人士的高度敏感信息。有争议的是,该组织本身似乎利用其外交豁免权来对这一事件保密。

 

幸运的是,这一次,据信联合国迅速修补了相关漏洞,并保护了暴露的数据。








重磅福利

携手E安全  共赴2021安全年

经历了2020,终于迎来崭新的2021~

小E感谢你们一如既往的支持与关注!


值此佳际,小E将放送
重!磅!新年好礼~



  参与方式:

在评论区留言

点赞20个,获得礼品1

点赞30个,获得礼品2

点赞50个,获得礼品3


小tip:快邀请好友为你的留言点赞吧~


                  

文末新年福利|高达10万名联合国员工信息被暴露!

              


注:本文由E安全编译报道,转载请注原文地址 

https://www.easyaq.com

推荐阅读:



稿件合作  15558192959

  小E微信号:Eanquan0914



文末新年福利|高达10万名联合国员工信息被暴露!

喜欢记得打赏小E哦!


文末新年福利|高达10万名联合国员工信息被暴露!

我就知道你“在看”
文末新年福利|高达10万名联合国员工信息被暴露!



本文始发于微信公众号(E安全):文末新年福利|高达10万名联合国员工信息被暴露!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月14日09:34:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   文末新年福利|高达10万名联合国员工信息被暴露!https://cn-sec.com/archives/241507.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息