最近，研究人員披露了一個安全漏洞，攻擊者利用這些漏洞，可以訪問10萬多條聯合國環境規劃署(UNEP)的私人員工記錄。

數據泄漏源于公開的Git目錄和憑據，這使攻擊者可以復制Git存儲庫并收集與10萬多名員工相關的大量個人身份信息(PII)。

[[377129]]

Git目錄公開了WordPress DB和Git憑據

道德黑客與安全研究小組Sakura Samurai最近披漏了他們的漏洞發現，這使他們可以訪問10萬多條聯合國環境規劃署(UNEP)員工的私人數據。

與BleepingComputer共享的文件和截圖提供了關于這個安全漏洞的性質及其暴漏的所有細節。

Sakura Samurai的研究人員杰克遜·亨利，尼克·薩勒，約翰·杰克遜和奧布里·科特爾在接觸過聯合國“脆弱性披露計劃”和“信息安全名人堂”后，著手尋找影響聯合國系統的任何安全漏洞。

然后，他們在與聯合國環境規劃署(UNEP)和聯合國國際勞工組織(ILO)相關的域名上發現了暴漏的Git目錄(. Git)和Git證書文件(. Git -credentials)。

研究人員能夠轉儲這些Git文件的內容，并使用git-dumper從* .ilo.org和* .unep.org域復制整個存儲庫。

.git目錄的內容包含敏感文件，例如WordPress配置文件(wp-config.php)，這些文件公開了管理員的數據庫憑據。

在聯合國網域的公開.git目錄中找到WordPress配置文件

同樣，作為數據泄漏的一部分，不同的PHP文件包含了與環境署和聯合國勞工組織其他在線系統相關的明文數據庫憑據。

此外，可公開訪問的.git-credentials文件使研究人員可以使用環境署的源代碼庫。

超過10萬名雇員的數據可能隨時被竊取

使用這些憑據，研究人員能夠從多個聯合國系統中竊取超過10萬名員工的私人信息。

該小組獲得的數據集公開了聯合國工作人員的旅行歷史，每行數據集包含：雇員ID，姓名，雇員組，旅行理由，開始和結束日期，批準狀態，目的地和停留時間。

研究人員提供的聯合國員工旅行記錄(超過10萬條記錄)

同樣，研究人員在分析過程中訪問的其他聯合國數據庫也公開了數千名員工的人力資源人口統計數據(國籍、性別、薪級)，項目資金來源記錄，廣義員工記錄和就業評估報告。

編輯了7000多名聯合國雇員的人力資源統計數據

Sakura Samurai表示：

攻擊者可能已經訪問過這些數據

研究人員與BleepingComputer分享了一系列電子郵件，表明他們最初于2021年1月4日私下向聯合國報告了該漏洞。

聯合國信息和通信技術辦公室(OICT)最初承認了他們的報告，但之后又回復到：

最終，根據這些研究人員的反饋意見，環境署企業解決方案主管已立即采取措施修補漏洞，并且正在進行對該漏洞的影響評估。

眾所周知，聯合國多年來一直試圖修補其眾多的信息技術系統，全球各地的很多情報機構都很可能對侵入聯合國系統感興趣。

在2019年7月發起的一項目的明確的網絡攻擊活動中，黑客組織入侵了聯合國在日內瓦和維也納辦事處的IT系統。在事件發生之后聯合國并沒有立即公開本次攻擊事件，甚至沒有向員工披露該事件的性質和受影響范圍。直到2020年，聯合國IT部門的高級官員才對外證實遭到了非常復雜的網絡攻擊，預估已經有400GB的數據被泄露。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/united-nations-data-breach-exposed-over-100k-unep-staff-records/