零零客微文大全00ke.net

  • 文末新年福利|高达10万名联合国员工信息被暴露!
  • 来源:E安全

图片

E安全1月14日讯  据报道,网络安全研究人员透露,他们只花了几个小时就成功访问了超过10万份属于联合国雇员的个人记录和证书等信息


图片


来自樱花武士(Sakura Samurai)的一个团队决定根据联合国的漏洞披露计划(vulnerability disclosure program)寻找漏洞,并将其报告给联合国,首先探查了在范围内的多个端点。

据樱花武士创始人约翰·杰克逊说,该网站最初为联合国机构国际劳工组织(ILO)找到了一个暴露的子域名。这让他们可以访问Git凭证,他们用它接管了一个遗留的MySQL数据库和一个调查管理平台。这些凭证的泄露是通过git-dump工具完成的。

尽管这些资产“几乎没有任何用处”,研究人员随后发现了一个与联合国环境规划署(UNEP)有关的暴露的子领域,这是一个更大的隐私风险。杰克逊解释说:“最终,一旦我们发现了GitHub的证书,我们就能够下载大量私有密码保护的GitHub项目,在这些项目中,我们发现了多套用于联合国环境规划署生产环境的数据库和应用程序证书。”

 


“总共,我们发现了另外7个凭证,它们可能导致未经授权的多个数据库访问。”

 

该团队总共发现了超过10万份员工记录,包括姓名、身份证号码、性别、薪酬等级、旅行明细记录、工作分区和部门、评估报告和资金来源记录。

 


联合国经常是民族国家攻击者的目标,其网络安全问题在过去也经常被发现不足。一年前有消息称,数百gb的内部数据在2019年被攻击者窃取,其中可能包括有关人权活动人士的高度敏感信息。有争议的是,该组织本身似乎利用其外交豁免权来对这一事件保密。

 

幸运的是,这一次,据信联合国迅速修补了相关漏洞,并保护了暴露的数据。








重磅福利

携手E安全  共赴2021安全年

经历了2020,终于迎来崭新的2021~

小E感谢你们一如既往的支持与关注!


值此佳际,小E将放送
重!磅!新年好礼~



  参与方式:

在评论区留言

点赞20个,获得礼品1

点赞30个,获得礼品2

点赞50个,获得礼品3


小tip:快邀请好友为你的留言点赞吧~


                  

              


注:本文由E安全编译报道,转载请注原文地址 
https://www.easyaq.com

推荐阅读:



稿件合作  15558192959

  小E微信号:Eanquan0914



喜欢记得打赏小E哦!



我就知道你“在看”



科技

1 2 3 4 5 >> 

公众号 • E安全

  • E安全微信号 : EAQapp
  • E安全 | 全球网络安全资讯新传媒 新版门户站点:http://www.easyaq.com/
  • 手机微信扫描上方二维码进行订阅

热门文章

近期更新

Flag Counter
  • 简  介:零零客微信公众平台收录了微信公众号,微信明星号,微信搞笑号等各种类型的微信公众号以及头条号。
  • 本站声明:本站与腾讯微信、微信公众平台、头条等无任何关联,非腾讯微信官方网站。
  • 版权声明:本站收录微信公众号和微信文章内容全部来自于网络,仅供个人学习、研究或者欣赏使用。版权归原作者所有。禁止一切商业用途。其中内容并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现零零客网站上有侵犯您的知识产权的内容,请与我们联系,我们会及时修改或删除。 [文章删除]