首页
论坛
课程
招聘

联合国数据库暴露,超10万雇员信息泄露

Editor 2021-01-12 18:29

近日,网络安全组织Sakura Samurai 披露了联合国系统的一个安全漏洞,他们可以利用这一漏洞访问联合国环境署超10万多份私人雇员记录。


研究人员发现联合国环境署和国际劳工组织有关网站的Git目录(.git)和Git凭据文件(.git-凭据)均可公开访问。


也就意味着,黑客不仅能够转储这些git文件的内容,还能使用git-dumper从*.ilo.org和*.unep.org完全复制整个存储库,收集大量与环境署雇员相关的个人可识别信息(PII)。


这个.git目录包含众多敏感文件,如WordPress配置文件(wp-config.php),公开管理员的数据库凭据等,使研究员可轻松访问环境署的源代码库。


公开的WordPress配置文件.git联合国域目录


泄露的信息还有一些PHP文件,包含与环境署和联合国劳工组织,以及其他在线系统相关的明文数据库凭证。


利用这些证书,研究人员能够从多个系统中提取10万多份联合国雇员记录,包括:员工ID、姓名、员工组、旅行证明、开始日期和结束日期、批准状态、目的地、停留时间等。



此外,研究员还获取了数千名雇员的人力资源人口数据(国籍、性别、薪酬等级)、项目资金来源记录、一般雇员记录和就业评估报告等信息。



2021年1月4日,研究人员将这些漏洞报告给联合国。


联合国信息和通信技术厅承认了这份报告,他们的DevOps小组已立即采取步骤修补该漏洞,目前正在对该漏洞进行影响评估。



公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com




分享到:
最新评论 (0)
登录后即可评论