联合国数据库暴露,超10万雇员信息泄露-女黑客导航

近日,网络安全组织Sakura Samurai 披露了联合国系统的一个安全漏洞,他们可以利用这一漏洞访问联合国环境署超10万多份私人雇员记录。
研究人员发现联合国环境署和国际劳工组织有关网站的Git目录(.git)和Git凭据文件(.git-凭据)均可公开访问。
也就意味着,黑客不仅能够转储这些git文件的内容,还能使用git-dumper从*.ilo.org和*.unep.org完全复制整个存储库,收集大量与环境署雇员相关的个人可识别信息(PII)。
这个.git目录包含众多敏感文件,如WordPress配置文件(wp-config.php),公开管理员的数据库凭据等,使研究员可轻松访问环境署的源代码库

公开的WordPress配置文件.git联合国域目录
泄露的信息还有一些PHP文件,包含与环境署和联合国劳工组织,以及其他在线系统相关的明文数据库凭证。
利用这些证书,研究人员能够从多个系统中提取10万多份联合国雇员记录,包括:员工ID、姓名、员工组、旅行证明、开始日期和结束日期、批准状态、目的地、停留时间等。

此外,研究员还获取了数千名雇员的人力资源人口数据(国籍、性别、薪酬等级)、项目资金来源记录、一般雇员记录和就业评估报告等信息。

联合国数据库暴露,超10万雇员信息泄露-女黑客导航

黑客导航

2021年1月4日,研究人员将这些漏洞报告给联合国。
联合国信息和通信技术厅承认了这份报告,他们的DevOps小组已立即采取步骤修补该漏洞,目前正在对该漏洞进行影响评估。

女黑客导航 :http://www.nvhacker.com/

版权声明:玥玥 发表于 2021-01-13 16:51:54。
转载请注明:联合国数据库暴露,超10万雇员信息泄露-女黑客导航 | 女黑客导航