联合国安全漏洞暴露10万名员工记录

通过郭盛华老师

联合国安全漏洞暴露10万名员工记录

安全研究人员披露了一个漏洞，他们利用该漏洞来访问至少10万个属于联合国环境规划署（UNEP）员工的私人记录。

安全研究小组Sakura Samurai的一个小组在寻找影响联合国系统的漏洞时发现了该漏洞。他们在与联合国环境规划署和联合国国际劳工组织（ILO）相关的域中发现了暴露的Git目录和Git凭证文件；他们能够转储这些文件的内容并克隆存储库。

Git目录包含敏感文件，包括包含管理数据库凭据的WordPress配置文件。这些凭据使团队可以从多个系统访问至少100,000个联合国员工记录。提取的数据包括员工ID，姓名，员工组，旅行理由，开始和结束日期，批准状态，目的地以及停留时间。

研究人员还能够访问更多的联合国数据库，其中包含数千名联合国工作人员的广义员工记录，员工评估报告，项目资金来源记录以及人力资源的人口统计数据，包括国籍，性别和薪级。 

来源：郭盛华博客，转载请注明出处