近日，网络安全组织Sakura Samurai 披露了联合国系统的一个安全漏洞，他们可以利用这一漏洞访问联合国环境署超10万多份私人雇员记录。

研究人员发现联合国环境署和国际劳工组织有关网站的Git目录(.git)和Git凭据文件(.git-凭据)均可公开访问。

也就意味着，黑客不仅能够转储这些git文件的内容，还能使用git-dumper从*.ilo.org和*.unep.org完全复制整个存储库，收集大量与环境署雇员相关的个人可识别信息(PII)。

这个.git目录包含众多敏感文件，如WordPress配置文件(wp-config.php)，公开管理员的数据库凭据等，使研究员可轻松访问环境署的源代码库。

公开的WordPress配置文件.git联合国域目录

泄露的信息还有一些PHP文件，包含与环境署和联合国劳工组织，以及其他在线系统相关的明文数据库凭证。

利用这些证书，研究人员能够从多个系统中提取10万多份联合国雇员记录，包括：员工ID、姓名、员工组、旅行证明、开始日期和结束日期、批准状态、目的地、停留时间等。

此外，研究员还获取了数千名雇员的人力资源人口数据(国籍、性别、薪酬等级)、项目资金来源记录、一般雇员记录和就业评估报告等信息。

2021年1月4日，研究人员将这些漏洞报告给联合国。

联合国信息和通信技术厅承认了这份报告，他们的DevOps小组已立即采取步骤修补该漏洞，目前正在对该漏洞进行影响评估。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com