Photo by Abhi018 on https://commons.wikimedia.org/wiki/File:United_nation_organisation.jpg (CC BY-SA 4.0)

一群自稱為Sakura Samurai的資安研究人員,因為看到聯合國提供了漏洞揭露專案與名人榜,於是決定尋找聯合國的資安漏洞,很快就發現有個端點曝露了一些Git憑證,使得他們得以下載該Git儲存庫,進而發現大量的聯合國員工個資,估計有超過10萬筆員工個資外洩,此外,他們亦在聯合國的網站上發現許多公開的.git目錄,還可利用各種工具來汲取這些目錄的內容。

Sakura Samurai團隊在此一Git儲存庫中,找到了逾10萬筆聯合國員工出差資料,包括姓名及員工編號等;另有內含7,000筆員工的國籍統計資料,包括姓名、員工編號、國籍、性別、薪資等級;以及內含4,000筆記錄的專案與資金來源;內含283個專案的評估報告。

該團隊還取得了隸屬於國際勞工組織( International Labour Organization,ILO)的SQL資料庫與調查管理平臺的控制權,儘管其資料庫及調查管理平台似乎已被棄用,但資料庫與管理帳號可被接管依然可稱為重大漏洞。

Sakura Samurai亦於聯合國環境規畫署的子網域中找到了一些GitHub憑證,利用相關憑證可下載許多原本被密碼保護的GitHub專案。不過,研究人員並未繼續深究,而是決定直接通報聯合國。

ITPro引用資安專家Javvad Malik的看法指出,全球化的組織經常在不同的系統或平臺上存放資料,但要同時追蹤這些不同的系統並確保正確設定卻是個挑戰;漏洞管理公司Outpost24安全長Martin Jartelius則說,此一案例看起來都是屬於使用上的漏洞,而非軟體上的漏洞,倘若這些曝露在網路上的系統,存放了其他系統的憑證,那麼將著實令人擔憂。

熱門新聞

Advertisement