欧美精品福利视频,狠狠干艹,91视频com

聯合國環境規劃署暴露10萬條員工記錄和超過4000個項目信息

責編：gltian ｜2021-01-18 15:03:40

擁有Sakura Samurai的安全研究人員在聯合國環境規劃署（UNEP）子域中識別了公開的GitHub憑據，從而使他們可以訪問大量數據，包括100,000多個員工記錄（下圖）。

近日Sakura Samurai的安全人員在研究聯合國漏洞披露計劃范圍內的資產安全漏洞時，發現了一個ilo.org子域，該子域暴露了大量Git賬戶信息。

泄露的信息可使非授權訪問者接管一個SQL數據庫，并在國際勞工組織的調查管理平臺上執行賬戶接管。盡管存在嚴重漏洞，但是這兩個資產已經被廢棄，沒有什么有用數據。

但是，進一步探查后，研究人員成功進入了一個泄露GitHub憑證的UNEP子域，能夠訪問和下載“很多受密碼保護的私有GitHub項目”。

Sakura Samurai指出，這些項目包含多個數據庫以及環境署生產環境的應用程序憑證。總計核實了7個憑證對，從而提供了對更多數據庫的未授權訪問。

研究者在其中一份文件中，確定了兩份包含102,000份員工差旅記錄的文檔。這些記錄包括姓名、員工ID號、員工組、旅行理由、旅行的開始和結束日期、批準狀態、停留時間和目的地。

研究人員還發現了兩個文檔，其中一個包含7,000多個人力資源國籍人口統計記錄（上圖），包括員工姓名和組、ID號、員工的國籍和性別、員工薪資等級以及工作單位標識號和單位文本標簽。另一個文檔中找到了1,000多個通用員工記錄，包括編號、員工姓名和電子郵件以及員工工作子區域。

另一份文件披露了超過4,000個項目和資金來源記錄（上圖），包括受影響的地區、贈款和聯合融資金額、資金來源、項目標識號、執行機構、國家、項目期限和批準狀態。包含評估報告的文檔里有關283個項目的信息，包括評估和報告的總體描述、評估進行的時期以及報告的鏈接。