联合国外泄10万名员工资料

一群自称为Sakura Samurai的安全研究人员,因为看到联合国提供了漏洞披露项目与名人榜,于是决定寻找联合国的安全漏洞,很快就发现有个端点暴露了一些Git凭证,使得他们得以下载该Git存储库,进而发现大量的联合国员工个人信息,估计有超过10万名员工的个人信息外泄,此外,他们也在联合国的网站上发现许多公开的.git目录,还可利用各种工具来汲取这些目录的内容。

Sakura Samurai团队在该Git存储库中,找到了超过10万名联合国员工的出差资料,包括姓名及员工编号等;另有内置7,000名员工的国籍统计资料,包括姓名、员工编号、国籍、性别、薪资等级;以及内置4,000笔记录的项目与资金来源;内置283个项目的评估报告。

该团队还取得了隶属于国际劳工组织(International Labour Organization,ILO)的SQL数据库与调查管理平台的控制权,尽管其数据库及调查管理平台似乎已被弃用,但数据库与管理账号可被接管依然可称为重大漏洞。

Sakura Samurai也于联合国环境规划局的子域名中找到了一些GitHub凭证,利用相关凭证可下载许多原本被密码保护的GitHub项目。

研究人员并未继续深究再找下去还会发现些什么,而是决定直接通报联合国。

ITPro引用安全专家Javvad Malik的看法指出,全球化的组织经常在不同的系统或平台上存放资料,但要同时关注这些不同的系统并确保正确设置却是个挑战;漏洞管理公司Outpost24首席安全官Martin Jartelius则说,该案例看起来都是属于使用上的漏洞,而非软件上的漏洞,倘若这些暴露在网络上的系统,存放了其它系统的凭证,那么着实令人担忧。