一组独立安全研究人员表示,联合国环境规划署(“环境署”)所属GitHub库的脆弱性暴露了10多万份员工记录,包括个人信息、联系人和其他敏感数据。 环境署负责协调联合国的环境活动。 一个新的道德黑客组织Sakura Samurai在其报告中指出,这些漏洞是由暴露GitHub存储库证书的终端引起的。
“这些证书允许您下载GitHub库以识别大量的用户证书和个人信息。 我们共识别了10万多名个体员工的记录。 ”这个小组的安全研究者之一John ykdbg说。
分析显示,联合国拥有的名为ilo.org的互联网服务器有多个. Git目录。 ykdbg在报告中写道:“这些. Git的内容可以使用' git-dumper '等各种工具泄露到外面。”
Sakura Samurai表示,研究人员将他们的发现通知联合国后,国际组织修复了这个漏洞,无法访问GitHub库。 我不能现在就联系联合国发言人发表评论。 研究人员还指出,虽然没有证据表明威胁行为者访问了这些数据,但这相对容易。
研究人员首先接管了属于联合国国际劳工组织的MySQL数据库和调查管理平台,开始了他们的行动。 然后,该组分析MySQL数据库中的域,找到UNEP的子域,并找到GitHub的证书。
“最终,发现GitHub证书后,您可以下载许多受密码保护的专用GitHub项目。 ykdbg指出:“在这些项目中,我们发现了UNEP生产环境中的多个数据库和APP应用程序证书。”
暴露的数据包括102000多份联合国工作人员的记录,包括工作人员的身份证号码、姓名和其他机密数据。 报告显示,还可以访问7000多名员工国籍记录、1000多名普通员工记录、项目和资金数据以及环境署项目的评估记录。
研究人员还指出,可以找到更多U.N.GitHub库的证书,其结果可能是非法访问更多U.N .数据库。 “我们决定停止并报告这个漏洞。 当您现在可以访问通过数据库备份发布的私人项目的(个人信息)时),”ykdbg写道。
在GitHub存储库中公布的工作人员数据可能会对联合国造成严重的网络威胁。 安全公司Cerberus Sentinel表示:“员工对数据泄露的主要担忧有助于对员工自身和与员工进行交流的业务伙伴进行高度针对性的后续社交工程攻击。”
“所公开的管理证书很可能足以损坏脆弱的APP应用程序、共享同一基础架构或重用同一口令的其他APP应用程序。 拥有这种访问权限的攻击者可以将恶意软件插入到生产APP应用程序中,以试图感染用户。 ”
安全公司KnowBe4的安全意识倡导者Javvad Malik表示,攻击者可能会使用这些暴露的数据。 “您可以获得员工对潜在敏感信息的访问权限,并通过网络钓鱼、重置密码或窃取身份来利用对组织、同事或个人的攻击,”Malik说。
其他攻击
随着COVID-19的到来,攻击者一直在欺骗联合国和其他机构,作为利用大爆发主题的运动的一部分。
2月,安全公司Kaspersky和Sophos的报告显示,黑客利用美国疾病控制和预防中心和联合国世界卫生组织的域名进行网络钓鱼活动。
谷歌威胁分析小组的报告显示,5月,在印度活动的“hack-for-hire”组织发出欺骗世界卫生组织的电子邮件,窃取了世界各地金融服务、咨询和医疗公司员工的证书。