Sicherheitsforscher haben eine Sicherheitslücke entdeckt und erfolgreich ausgenutzt, die ihnen Zugriff auf mehr als 100.000 private Aufzeichnungen von Mitarbeitern des Umweltprogramms der Vereinten Nationen (UNEP) ermöglichte. Die Entdeckung wurde von der ethischen Hacking- und Sicherheitsforschungsgruppe Sakura Samurai gemacht, nachdem sich ihre Mitglieder Jackson Henry, Nick Sahler, John Jackson und Aubrey Cottle mit der Hall of Fame des Vulnerability Disclosure Program getroffen hatten. VEREINTE NATIONEN. Bei der Suche nach Schwachstellen zur Meldung an die UN entdeckten Forscher Git-Verzeichnisse (.git) und Git-Anmeldeinformationsdateien (.git-credentials) in Domänen, die mit UNEP und der Internationalen Arbeitsorganisation (ILO) der Vereinten Nationen verbunden sind. ). Sakura Samurai hat dann den Inhalt dieser Git-Dateien gelöscht und ganze Repositorys mit Git-Dumper geklont. Das .git-Verzeichnis enthielt vertrauliche Dateien, darunter WordPress-Konfigurationsdateien, die die Datenbankanmeldeinformationen des Administrators offenlegten. Mehrere der durch die Datenschutzverletzung offengelegten PHP-Dateien enthielten auch Anmeldeinformationen aus Klartextdatenbanken, die mit externen Online-Systemen von UNEP und UN-ILO verknüpft waren. Schließlich ermöglichten öffentlich zugängliche .git-credentials-Dateien Forschern den Zugriff auf die UNEP-Quellcodebasis.
UN-Datenverstoß
Der von Sakura Samurai erhaltene Datensatz enthielt eine große Menge an Informationen über den Reiseverlauf von UN-Personal, einschließlich ihrer Mitarbeiter-IDs, Namen, Mitarbeitergruppen, Reisezweck, Start- und Enddatum, Genehmigungsstatus, Zielort und sogar Aufenthaltsdauer. In anderen Datenbanken der Vereinten Nationen durchsuchten die Forscher Personaldemografien, einschließlich Nationalität, Geschlecht und Gehaltsniveau, von Tausenden von Mitarbeitern sowie Quelldatensätze. Projektfinanzierung, allgemeine Mitarbeiterakten und Stellenbewertungsberichte. In einem Blogbeitrag erklärten die Forscher von Sakura Samurai, dass sie die UN wegen der Datenschutzverletzung kontaktiert hätten, nachdem sie in privaten Projekten auf Datenbanksicherungen zugegriffen hatten, und sagten: „Letztendlich konnten wir, nachdem wir die GitHub-Anmeldeinformationen erfahren hatten, eine große Anzahl passwortgeschützter Dateien herunterladen.“ private GitHub-Projekte und innerhalb der Projekte wurden verschiedene Sätze von Datenbankinformationen und Anwendungsidentifikationen für die UNEP-Produktionsumgebung gefunden. Insgesamt haben wir 7 zusätzliche Zugangsdatenpaare gefunden, die zu unbefugtem Zugriff auf verschiedene Datenbanken hätten führen können. Wir haben beschlossen, diese Sicherheitslücke zu stoppen und zu melden, sobald wir über die Datenbanksicherungen in den privaten Projekten auf die offengelegten persönlichen Informationen zugreifen konnten. „Forscher haben die Sicherheitslücke erstmals am 4. Januar an die UN weitergegeben, und die Organisation konnte das Sicherheitsproblem in weniger als einer Woche schnell beheben. Über BleepingComputer könnten Cyberkriminelle jedoch auch auf diese Daten über die UN-Mitarbeiter zugreifen