联合国的脆弱性披露计划导致了令人震惊的发现，研究人员访问了10万名联合国环境规划署雇员的私人数据。

“樱花武士”的道德黑客和网络安全研究人员近日披露了一项令人震惊的新发现，该漏洞允许他们访问超过10万名联合国环境规划署(UNEP)员工的私人数据。

研究小组成员包括Jackson Henry, Nick Sahler, John Jackson, Sakura Samurai的创始人，和Aubrey Cottle，这一发现是联合国与HackerOne合作的脆弱性披露项目的一部分。

樱花武士研究人员试图发现影响联合国系统的安全漏洞。起初，他们找不到任何有趣的东西。他们探索了在他们研究范围内的多个端点。

最后，研究人员找到了国际劳工组织(ILO)的暴露子域。这允许他们访问Git凭据。

使用这些凭证，研究人员能够接管遗留的MYSQL数据库以及调查管理平台。他们用了一个信息转储工具来窃取凭证。

Git目录对漏洞负有责任

据Sakura Samurai介绍，暴露的Git凭证和目录允许他们克隆Git存储库，并收集超过10万名员工的大量个人身份信息。暴露的子域带来了更大的隐私风险，因为它泄漏了Git凭证。

研究人员使用Git -dumper转储Git文件内容，并从*.unep.org和*.ilo.org域克隆整个仓库。git目录的内容包括敏感文件，例如WordPress配置文件，它暴露了管理员的数据库凭据。

杰克逊在一篇博客文章中写道:“最终，一旦我们发现了GitHub的证书，我们就能够下载大量私人密码保护的GitHub项目，在这些项目中，我们发现了多套用于联合国环境规划署生产环境的数据库和应用程序证书。”

研究人员还发现了另外7对证书，可以让威胁参与者访问多个数据库。因此，该团队决定在访问“通过私人项目中的数据库备份暴露的”PII后报告该漏洞。

他们还识别了各种暴露出来的PHP文件，其中包含与联合国、国际劳工组织和联合国环境规划署其他在线系统相连的明文数据库凭证。此外，使用公开的Git证书，研究人员也可以访问联合国环境规划署的源代码库。

10万多名员工的私人数据被窃取

研究人员从多个联合国系统窃取了超过10万名联合国雇员的私人数据。该数据集包含联合国工作人员的旅行历史。每一行都包含敏感信息，如员工ID、电子邮件地址、员工组、姓名、旅行理由、批准状态、开始/结束日期、目的地和逗留时间。

他们访问的其他联合国数据库包括人力资源人口统计数据，其中包括数千名员工的国籍、性别、级别和薪酬相关信息，以及项目资助源代码、员工评估报告和一般员工记录。

“当我们开始研究联合国时，我们没想到事态会升级得这么快。在几个小时内，我们就得到了敏感数据，并发现了漏洞。总的来说，我们在不到24小时的时间里获得了所有这些数据。”

光谱的首席执行官和创始人Dotan Nahum对这一问题发表了评论，并告诉Hackread.com，

“在SDLC(软件开发生命周期)的不同阶段，有一些开发者的最佳实践可能被遗漏了。其中两项是——在代码库中存储敏感信息和凭证，这是不建议的，第二项是确保敏感代码基础数据，如Git元数据(原始代码库的原始存储)不被公开。”

Dotan补充道:“很容易看出，当一个组织依赖于人类签名时，这样的事情是如何从裂缝中溜走的:代码中的凭据很难在大型代码库中跟踪，而Git元数据对象通常对大多数普通用户隐藏。”

Dotan建议:“为了避免这些类型的错误，需要能够跟上开发步伐的工具和自动化，以及随着时间的推移，随着代码库和团队的成长，必然会出现的隐藏的、容易出错的网络安全问题。”

联合国扭转乾坤

该漏洞于2021年1月4日向联合国报告。联合国信息和通信技术办公室承认了这一发现。起初，他们认为这些资料只与劳工组织有关。

然而，后来他们意识到，联合国环境规划署的数据也被曝光了。联合国环境规划署的企业解决方案负责人Saiful Ridwan对研究人员表示感谢，并指出他们的DevOps团队已经修复了该问题，并且一份影响评估报告正在进行中。

（来源：HackRead）