Etičtí hackeři získali přístup ke 100 000 soukromým záznamům OSN

United Nations security

Výzkumníci v oblasti bezpečnosti úspěšně hackli OSN a získali přístup k pověření uživatelů a osobně identifikovatelným informacím (PII) – včetně více než 100 000 soukromých záznamů o zaměstnancích a projektech – předtím, než informovali OSN o problému prostřednictvím programu organizace pro odhalení zranitelností.

Etičtí hackeři z výzkumné skupiny Sakura Samurai využili chybu zabezpečení v adresáři GitHub, která odhalila pověření k WordPress DB a GitHub a umožnila přístup k mnoha soukromým záznamům z Programu OSN pro životní prostředí (UNEP).

Zranitelnost objevili výzkumníci Jackson Henry, Nick Sahler, John Jackson a Aubrey Cottle. Identifikovali koncový bod, který odhalil pověření, napsali v příspěvku na blogu.

“Pověření nám dala možnost stáhnout úložiště Git, identifikovat spoustu uživatelských údajů a PII,” napsali. “Celkově jsme identifikovali více než 100 tisíc soukromých záznamů zaměstnanců. Objevili jsme také několik odhalených adresářů .git na webových serverech vlastněných OSN [ilo.org], obsah .git by pak bylo možné exfiltrovat pomocí různých nástrojů, například „git-dumper“. “

Vědcům se při jejich narušení podařilo získat přístup k významnému množství citlivých informací OSN, včetně 102 000 záznamů o cestování; více než 7 000 záznamů demografických údajů o národnosti lidských zdrojů; více než 1 000 všeobecných záznamů zaměstnanců; více než 4 000 záznamů o projektech a zdrojích financování; a hodnotící zprávy 283 projektů.

Údaje odhalené v záznamech zahrnovaly jména, identifikační čísla, národnosti, pohlaví, platové třídy a řadu dalších osobních údajů týkajících se zaměstnanců OSN, jakož i identifikační čísla, umístění a částky financování pro různé projekty UNEP, jakož i zdroje financování a další konkrétní podrobnosti.

Kromě přístupu k záznamům prostřednictvím chyby související s Gitem ovládli vědci databázi SQL a program Survey Management patřící k Mezinárodní organizaci práce (ILO). Zranitelnosti však „byly málo významné“ a databáze a platforma byly „v podstatě opuštěné,“ napsali.

„Nicméně převzetí databáze a převzetí účtu správce na platformě jsou stále kritickými zranitelnostmi,“ poznamenali vědci.

Významný byl také přístup k databázi SQL, protože to byla brána do objevování pověření GitHubu a případných záznamů, vysvětlili vědci ve svém příspěvku. Svůj průzkum zahájili zpočátku provedením výčtu subdomén všech domén v rámci programu OSN.

Pro OSN není napadení hackery, a to nejen etickými, ničím novým. Loni v červenci hackeři narušili OSN tím, že využili zranitelnost v Microsoft SharePoint ve zjevné špionážní operaci a údajně získali přístup k odhadovaným 400 GB citlivých dat. Hack byl odhalen až o šest měsíců později.

Téměř před rokem se operátoři malwaru Emotet zaměřili na pracovníky OSN v útoku pomocí trojského koně TrickBot.

Zdroj: threatpost.com