联合国安全漏洞暴露10万名员工记录

通过郭盛华老师

联合国安全漏洞暴露10万名员工记录

安全研究人员披露了一个漏洞,他们利用该漏洞来访问至少10万个属于联合国环境规划署(UNEP)员工的私人记录。

安全研究小组Sakura Samurai的一个小组在寻找影响联合国系统的漏洞时发现了该漏洞。他们在与联合国环境规划署和联合国国际劳工组织(ILO)相关的域中发现了暴露的Git目录和Git凭证文件;他们能够转储这些文件的内容并克隆存储库。

Git目录包含敏感文件,包括包含管理数据库凭据的WordPress配置文件。这些凭据使团队可以从多个系统访问至少100,000个联合国员工记录。提取的数据包括员工ID,姓名,员工组,旅行理由,开始和结束日期,批准状态,目的地以及停留时间。

研究人员还能够访问更多的联合国数据库,其中包含数千名联合国工作人员的广义员工记录,员工评估报告,项目资金来源记录以及人力资源的人口统计数据,包括国籍,性别和薪级。 

来源:郭盛华博客,转载请注明出处

关于作者

郭盛华老师 administrator

黑客防御、网络安全、开发各类系统、想学技术的朋友,可加QQ/微信 1602007,微信公众号:郭盛华