压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

聯(lián)合國環(huán)境規(guī)劃署暴露10萬條員工記錄和超過4000個項目信息

擁有Sakura Samurai的安全研究人員在聯(lián)合國環(huán)境規(guī)劃署(UNEP)子域中識別了公開的GitHub憑據(jù),從而使他們可以訪問大量數(shù)據(jù),包括100,000多個員工記錄(下圖)。

近日Sakura Samurai的安全人員在研究聯(lián)合國漏洞披露計劃范圍內(nèi)的資產(chǎn)安全漏洞時,發(fā)現(xiàn)了一個ilo.org子域,該子域暴露了大量Git賬戶信息。

泄露的信息可使非授權(quán)訪問者接管一個SQL數(shù)據(jù)庫,并在國際勞工組織的調(diào)查管理平臺上執(zhí)行賬戶接管。盡管存在嚴重漏洞,但是這兩個資產(chǎn)已經(jīng)被廢棄,沒有什么有用數(shù)據(jù)。

但是,進一步探查后,研究人員成功進入了一個泄露GitHub憑證的UNEP子域,能夠訪問和下載“很多受密碼保護的私有GitHub項目”。

Sakura Samurai指出,這些項目包含多個數(shù)據(jù)庫以及環(huán)境署生產(chǎn)環(huán)境的應(yīng)用程序憑證。總計核實了7個憑證對,從而提供了對更多數(shù)據(jù)庫的未授權(quán)訪問。

研究者在其中一份文件中,確定了兩份包含102,000份員工差旅記錄的文檔。這些記錄包括姓名、員工ID號、員工組、旅行理由、旅行的開始和結(jié)束日期、批準狀態(tài)、停留時間和目的地。

研究人員還發(fā)現(xiàn)了兩個文檔,其中一個包含7,000多個人力資源國籍人口統(tǒng)計記錄(上圖),包括員工姓名和組、ID號、員工的國籍和性別、員工薪資等級以及工作單位標識號和單位文本標簽。另一個文檔中找到了1,000多個通用員工記錄,包括編號、員工姓名和電子郵件以及員工工作子區(qū)域。

另一份文件披露了超過4,000個項目和資金來源記錄(上圖),包括受影響的地區(qū)、贈款和聯(lián)合融資金額、資金來源、項目標識號、執(zhí)行機構(gòu)、國家、項目期限和批準狀態(tài)。包含評估報告的文檔里有關(guān)283個項目的信息,包括評估和報告的總體描述、評估進行的時期以及報告的鏈接。

上一篇:SolarWinds黑客組織開始銷售泄露數(shù)據(jù)

下一篇:加密通訊元年:Signal下載量暴增4200%

站长统计