据一组独立安全研究人员称,联合国环境规划署(简称“环境署”)所属GitHub库的一个漏洞暴露了超过10万条员工记录,包括个人身份信息、联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一个新的道德黑客组织Sakura Samurai在其报告中指出,这些漏洞源于一个暴露GitHub存储库凭证的终端。
“这些凭证让我们有能力下载GitHub库,识别出大量的用户凭证和个人身份信息。我们总共识别了超过10万条私人员工记录。”该小组的安全研究人员之一John Jackson说。
分析还显示,在联合国拥有的名为ilo.org的网络服务器上有多个.Git目录。Jackson在报告中写道:“这些.Git内容就可以用各种工具(如'git-dumper')进行外泄。”
据Sakura Samurai报道,在研究人员将他们的发现通知给联合国后,该国际组织修复了该漏洞,GitHub库已无法访问。目前无法立即联系到联合国发言人发表评论。研究人员还指出,虽然没有证据表明有威胁行为者访问了这些数据,但这样做相对容易。
研究人员首先接管了属于联合国国际劳工组织的一个MySQL数据库和一个调查管理平台,开始了他们的行动。然后,该小组分析了MySQL数据库中的域,找到了UNEP的子域,这让他们找到了GitHub的凭证。
“最终,一旦我们发现了GitHub凭证,我们就能够下载很多受密码保护的私人GitHub项目,在这些项目中,我们发现了UNEP生产环境的多套数据库和应用凭证,”Jackson指出。
暴露的数据包括超过102000条联合国员工的记录,包括员工的身份证号码、姓名和其他敏感数据。报告称,还可以访问7000多条员工国籍记录、1000多条普通员工记录、项目和资金数据以及环境署项目的评估记录。
研究人员还指出,他们能够找到更多U.N.GitHub库的凭证,这可能导致更多未经授权的访问多个U.N.数据库。“我们决定停止并报告这个漏洞,一旦我们能够访问通过数据库备份暴露的私人项目中的(个人身份信息),”Jackson写道。
GitHub存储库中暴露的员工数据可能会给联合国带来重大的网络威胁。“对员工数据泄露的主要担忧是,在对员工本身以及与他们互动的任何商业伙伴进行高度针对性的后续社会工程攻击时有用,”安全公司Cerberus Sentinel的解决方案架构副总裁Chris Clements说。
“所披露的管理凭证很可能已经足以损害脆弱的应用程序以及共享相同基础设施或重用相同密码的其他应用程序。拥有这种访问权限的攻击者可以将恶意软件插入生产应用程序中,试图感染用户。”
安全公司KnowBe4的安全意识倡导者Javvad Malik表示,攻击者可能会使用这些暴露的数据。“获得对员工潜在敏感信息的访问权限,可以通过网络钓鱼、密码重置或身份窃取来利用对组织、同事或个人本身的攻击,”Malik说。
其他攻击
随着COVID-19的到来,攻击者一直在欺骗联合国和其他机构,作为他们利用流行病主题的运动的一部分。
2月,安全公司Kaspersky和Sophos报告说,黑客利用设计成美国疾病控制和预防中心和联合国世界卫生组织的域名进行网络钓鱼活动。
根据谷歌威胁分析小组的报告,5月份,在印度活动的"hack-for-hire" 组织发出欺骗世界卫生组织的电子邮件,以窃取世界各地金融服务、咨询和医疗保健公司员工的证书。