Δευτέρα, 22 Φεβρουαρίου, 04:55
Αρχική security Ερευνητές απέκτησαν πρόσβαση σε 100.000 αρχεία υπαλλήλων του ΟΗΕ!

Ερευνητές απέκτησαν πρόσβαση σε 100.000 αρχεία υπαλλήλων του ΟΗΕ!

Ερευνητές της ομάδας Sakura Samurai αποκάλυψαν στις 11 Ιανουαρίου μια ευπάθεια ασφαλείας, η οποία τους επέτρεψε να αποκτήσουν σε λιγότερο από 24 ώρες πρόσβαση σε περισσότερα από 100.000 ιδιωτικά αρχεία υπαλλήλων του Προγράμματος Περιβάλλοντος των Ηνωμένων Εθνών (UNEP). Η παραβίαση δεδομένων προήλθε από εκτεθειμένους καταλόγους και credentials Git, που επέτρεψαν στους ερευνητές να «κλωνοποιήσουν» τα αποθετήρια Git και να συλλέξουν μεγάλο αριθμό προσωπικών στοιχείων (PII) που σχετίζονται με υπαλλήλους του ΟΗΕ.

Έχοντας συναντήσει το Πρόγραμμα Αποκάλυψης Ευπάθειας των Ηνωμένων Εθνών και το Hall of Fame του InfoSec, οι ερευνητές Jackson Henry, Nick Sahler, John Jackson και Aubrey Cottle της Sakura Samurai ξεκίνησαν να αναζητούν τυχόν σφάλματα ασφαλείας που επηρεάζουν τα συστήματα του ΟΗΕ. Στη συνέχεια, εντόπισαν εκτεθειμένους καταλόγους Git (.git) και credentials files Git (.git- credentials) σε domains που σχετίζονται με το UNEP και τη Διεθνή Οργάνωση Εργασίας των Ηνωμένων Εθνών (ILO). Οι ερευνητές μπόρεσαν να «κλέψουν» το περιεχόμενο αυτών των αρχείων Git και να κλωνοποιήσουν ολόκληρα αποθετήρια από τα domains * .ilo.org και * .unep.org χρησιμοποιώντας το git-dumper.

Ερευνητές απέκτησαν πρόσβαση σε 100.000 αρχεία υπαλλήλων του ΟΗΕ!

O κατάλογος .git περιλαμβάνει «ευαίσθητα» αρχεία, όπως αρχεία διαμόρφωσης WordPress (wp-config.php) που εκθέτουν τα database credentials διαχειριστή. Ομοίως, διαφορετικά αρχεία PHP που εκτέθηκαν ως μέρος αυτής της παραβίασης δεδομένων περιείχαν database credentials απλού κειμένου που σχετίζονται με άλλα διαδικτυακά συστήματα του UNEP και της ILO. Επιπλέον, τα προσβάσιμα στο κοινό .git-credentials files επέτρεψαν στους ερευνητές να αποκτήσουν πρόσβαση στη βάση του πηγαίου κώδικα του UNEP.

Ερευνητές απέκτησαν πρόσβαση σε 100.000 αρχεία υπαλλήλων του ΟΗΕ!

δεδομένα στα οποία κατάφεραν να αποκτήσουν πρόσβαση οι ερευνητές περιέχουν πάνω από 100.000 αρχεία εργαζομένων του ΟΗΕ. Χρησιμοποιώντας αυτά τα credentials, οι ερευνητές μπόρεσαν να λάβουν πάνω από 100.000 αρχεία υπαλλήλων του ΟΗΕ από πολλά συστήματα.
Το σύνολο δεδομένων που αποκτήθηκε από την ομάδα εξέθεσε το ιστορικό ταξιδιού του προσωπικού του ΟΗΕ, με κάθε σειρά να περιέχει: αναγνωριστικό υπαλλήλου, ονόματα, ομάδες υπαλλήλων, αιτιολόγηση ταξιδιού, ημερομηνίες έναρξης και λήξης, κατάσταση έγκρισης, προορισμός και διάρκεια διαμονής. Ομοίως, άλλες βάσεις δεδομένων του ΟΗΕ στις οποίες απέκτησαν πρόσβαση οι ερευνητές, εξέθεσαν δημογραφικά στοιχεία ανθρώπινου δυναμικού (εθνικότητα, φύλο, μισθός) χιλιάδων υπαλλήλων, αρχεία πηγών χρηματοδότησης έργων, γενικά αρχεία εργαζομένων και εκθέσεις αξιολόγησης της δουλειάς τους.

Ερευνητές απέκτησαν πρόσβαση σε 100.000 αρχεία υπαλλήλων του ΟΗΕ!

Οι ερευνητές της Sakura Samurai δήλωσαν στο BleepingComputer σχετικά με αυτό τους το εγχείρημα τα ακόλουθα: «Όταν ξεκινήσαμε να ερευνούμε τον ΟΗΕ, δεν νομίζαμε ότι θα εξελιχθεί τόσο γρήγορα. Μέσα σε λίγες ώρες, είχαμε ήδη αποκτήσει ευαίσθητα δεδομένα και εντοπίσει ευπάθειες. Συνολικά, σε λιγότερο από 24 πλήρεις ώρες λάβαμε όλα αυτά τα δεδομένα. Συνολικά, βρήκαμε 7 επιπλέον ζεύγη credentials τα οποία θα μπορούσαν να είχαν οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση πολλών βάσεων δεδομένων. Αποφασίσαμε να σταματήσουμε και να αναφέρουμε αυτήν την ευπάθεια μόλις μπορέσαμε να έχουμε πρόσβαση σε PII που εκτέθηκαν μέσω αντιγράφων ασφαλείας βάσεων δεδομένων που βρίσκονταν στα ιδιωτικά projects.»

Αξιοσημείωτο είναι το γεγονός ότι χάκερς ενδέχεται να έχουν επίσης καταφέρει να αποκτήσουν πρόσβαση σε αυτά τα δεδομένα.

Ο Saiful Ridwan, επικεφαλής των εταιρικών λύσεων στο UNEP, ευχαρίστησε τους ερευνητές για την αναφορά της ευπάθειας, δηλώνοντας ότι η ομάδα DevOps είχε λάβει άμεσα μέτρα για να διορθώσει την ευπάθεια και ότι βρίσκεται σε εξέλιξη μια εκτίμηση των επιπτώσεων αυτής της ευπάθειας. Οι ερευνητές ανέφεραν στο BleepingComputer, ότι τα Ηνωμένα Έθνη ενήργησαν άμεσα για τον μετριασμό της εν λόγω ευπάθειας, επισημαίνοντας πως το μόνο πράγμα που τους ανησυχεί επί του παρόντος είναι η ενημέρωση των επηρεαζόμενων ατόμων. Συγκεκριμένα, ο Aubrey Cottle A.K.A. Kirtaner σημείωσε ότι αν ήταν τόσο εύκολο να ληφθούν τα δεδομένα, οι κυβερνοεγκληματίες πιθανότατα έχουν ήδη καταφέρει να τα αποκτήσουν.

Ηνωμένα Έθνη

Αυτή δεν είναι η πρώτη φορά που τα συστήματα του ΟΗΕ υπέστησαν παραβίαση δεδομένων. Ο οργανισμός αποτελεί συχνό στόχο των κυβερνοεγκληματιών. Το 2019 κλάπηκαν εκατοντάδες gigabytes εσωτερικών δεδομένων, που ενδεχομένως περιλάμβαναν εξαιρετικά ευαίσθητες πληροφορίες για ακτιβιστές ανθρωπίνων δικαιωμάτων – γεγονός που έγινε γνωστό το 2020. Ο οργανισμός φάνηκε να χρησιμοποιεί τη διπλωματική του ασυλία για να κρατήσει το περιστατικό μυστικό.

Αυτή τη φορά, ωστόσο, ο ΟΗΕ πιστεύεται ότι έχει επιδιορθώσει γρήγορα τις εν λόγω ευπάθειες και διασφαλίζει τα εκτεθειμένα δεδομένα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...