聯(lián)合國環(huán)境規(guī)劃署暴露10萬條員工記錄和超過4000個項目信息
責編:gltian |2021-01-18 15:03:40擁有Sakura Samurai的安全研究人員在聯(lián)合國環(huán)境規(guī)劃署(UNEP)子域中識別了公開的GitHub憑據(jù),從而使他們可以訪問大量數(shù)據(jù),包括100,000多個員工記錄(下圖)。
近日Sakura Samurai的安全人員在研究聯(lián)合國漏洞披露計劃范圍內(nèi)的資產(chǎn)安全漏洞時,發(fā)現(xiàn)了一個ilo.org子域,該子域暴露了大量Git賬戶信息。
泄露的信息可使非授權(quán)訪問者接管一個SQL數(shù)據(jù)庫,并在國際勞工組織的調(diào)查管理平臺上執(zhí)行賬戶接管。盡管存在嚴重漏洞,但是這兩個資產(chǎn)已經(jīng)被廢棄,沒有什么有用數(shù)據(jù)。
但是,進一步探查后,研究人員成功進入了一個泄露GitHub憑證的UNEP子域,能夠訪問和下載“很多受密碼保護的私有GitHub項目”。
Sakura Samurai指出,這些項目包含多個數(shù)據(jù)庫以及環(huán)境署生產(chǎn)環(huán)境的應(yīng)用程序憑證。總計核實了7個憑證對,從而提供了對更多數(shù)據(jù)庫的未授權(quán)訪問。
研究者在其中一份文件中,確定了兩份包含102,000份員工差旅記錄的文檔。這些記錄包括姓名、員工ID號、員工組、旅行理由、旅行的開始和結(jié)束日期、批準狀態(tài)、停留時間和目的地。
研究人員還發(fā)現(xiàn)了兩個文檔,其中一個包含7,000多個人力資源國籍人口統(tǒng)計記錄(上圖),包括員工姓名和組、ID號、員工的國籍和性別、員工薪資等級以及工作單位標識號和單位文本標簽。另一個文檔中找到了1,000多個通用員工記錄,包括編號、員工姓名和電子郵件以及員工工作子區(qū)域。
另一份文件披露了超過4,000個項目和資金來源記錄(上圖),包括受影響的地區(qū)、贈款和聯(lián)合融資金額、資金來源、項目標識號、執(zhí)行機構(gòu)、國家、項目期限和批準狀態(tài)。包含評估報告的文檔里有關(guān)283個項目的信息,包括評估和報告的總體描述、評估進行的時期以及報告的鏈接。
- GDPR的七年之癢:2024-2025 GDPR處罰與執(zhí)法數(shù)據(jù)全景分析
- 印度成功在多芯光纖 (MCF) 上實現(xiàn)了量子密鑰分發(fā)
- 量子危機提前!近百萬比特量子計算機一周內(nèi)可破解RSA加密算法
- 公安機關(guān)公布網(wǎng)絡(luò)攻擊來源為中國臺灣民進黨當局有關(guān)黑客組織
- 國家安全部發(fā)布使用AI應(yīng)用保密安全指南
- 首次!OpenAI o3模型找到Linux內(nèi)核零日漏洞
- 零售巨頭因勒索攻擊運營中斷數(shù)月,預(yù)計損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團隊斬獲32萬美元
- AI驅(qū)動時代,安全跨越鴻溝的困境和機遇
- 曝光:國內(nèi)某打印機官方軟件感染竊密木馬超半年