Nações Unidas sofre grande violação de dados
Pesquisadores de segurança descobriram e exploraram com sucesso uma vulnerabilidade que lhes deu acesso a mais de 100.000 registros de funcionários privados pertencentes ao Programa Ambiental das Nações Unidas (PNUMA).
A descoberta foi feita pelo grupo de pesquisa de segurança e hackers éticos Sakura Samurai depois que seus membros Jackson Henry, Nick Sahler, John Jackson e Aubrey Cottle se depararam com o Programa de Divulgação de Vulnerabilidades da ONU e o Hall da Fama.
Na tentativa de encontrar vulnerabilidades para relatar à ONU, os pesquisadores encontraram diretórios Git expostos (.git) e arquivos de credenciais Git (.git-credentials) em domínios associados ao PNUMA e à Organização Internacional do Trabalho (OIT) da ONU. Sakura Samurai então despejou o conteúdo desses arquivos Git e clonou repositórios inteiros usando git-dumper.
O diretório .git continha arquivos confidenciais, incluindo arquivos de configuração do WordPress que expunham as credenciais do banco de dados do administrador. Vários arquivos PHP expostos na violação de dados também continham credenciais de banco de dados de texto simples que estão associadas a sistemas online externos do PNUMA e da OIT da ONU. Finalmente, os arquivos .git-credentials acessíveis ao público deram aos pesquisadores acesso à base de código-fonte do PNUMA.
Violação de dados da ONU
O conjunto de dados obtido por Sakura Samurai continha uma riqueza de informações sobre o histórico de viagens de funcionários da ONU, incluindo seus IDs de funcionários, nomes, grupos de funcionários, justificativa de viagem, datas de início e término, status de aprovação, destino e até mesmo tempo de estadia.
Em outros bancos de dados da ONU, os pesquisadores acessaram dados demográficos de RH, incluindo nacionalidade, gênero e nível salarial, de milhares de funcionários, bem como registros de fontes de financiamento de projetos, registros generalizados de funcionários e relatórios de avaliação de empregos.
Em um postagem do blog, os pesquisadores do Sakura Samurai explicaram que contataram a ONU a respeito da violação de dados após acessar backups de banco de dados em projetos privados, dizendo:
“Por fim, assim que descobrimos as credenciais do GitHub, pudemos baixar muitos projetos privados do GitHub protegidos por senha e, dentro dos projetos, encontramos vários conjuntos de banco de dados e credenciais de aplicativo para o ambiente de produção do UNEP. No total, encontramos 7 pares de credenciais adicionais que podem ter resultado no acesso não autorizado a vários bancos de dados. Decidimos parar e relatar essa vulnerabilidade assim que pudemos acessar as PII que foram expostas por meio de backups de banco de dados que estavam em projetos privados. ”
Os pesquisadores revelaram a vulnerabilidade à ONU em 4 de janeiro e a organização foi capaz de corrigir rapidamente o problema de segurança em menos de uma semana. No entanto, os cibercriminosos também podem ter conseguido obter acesso a esses dados sobre funcionários da ONU.
Através da BleepingComputer