АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

13 января 2021

ООН случайно раскрыла данные сотрудников

Исследователи безопасности обнаружили серьезную уязвимость в системе безопасности ООН. Используя эту брешь, они смогли просмотреть более 100 тыс. записей персональных данных, отмечает Bleeping Computer.

Группа этичных хакеров Sakura Samurai поделилась своими выводами, сделанными в ходе изучения ресурсов Организации Объединенных Наций. Исследователи подчеркнули, что нашли уязвимость, возникшую из-за того, что общественная организация оставила открытыми каталоги Git и разместила учетные данные для доступа к репозиториям в доменах, связанных с программой по окружающей среде (UNEP) и проектами Международной организации труда (ILO).

Используя специальное ПО, участники Sakura Samurai смогли извлечь целые репозитории из доменов *.ilo.org и *.unep.org. Кроме того, исследователи получили доступ к базе исходного кода UNEP.

В общей сложности этичные хакеры извлекли из различных систем более 100 тыс. записей о сотрудниках ООН. В частности, группа получила доступ к истории поездок сотрудников. Каждая строка данных содержит такие записи, как ID сотрудника, имя, информация о группе сотрудников, обоснование для участия в командировке, дата начала и завершения служебной поездки, статус утверждения командировки, пункт назначения и продолжительность поездки.

В других базах члены Sakura Samurai нашли такие данные, как национальность, пол, размер заработной платы для тысяч сотрудников. Также скомпрометированы записи об источниках финансирования проектов и отчеты об оценке работы.

По словам исследователей, всего они обнаружили семь пар учетных данных, которые могли привести к несанкционированному доступу в несколько баз. После того, как этичные хакеры получили доступ к личной информации, содержащейся в резервных копиях баз данных, они решили остановиться и сообщить о наличии уязвимости в ООН. При этом, скорее всего, доступ к конфиденциальным данным организации уже успели получить злоумышленники, подчеркнули в Sakura Samurai.

Несмотря на некоторое недопонимание, возникшее после получения письма от Sakura Samurai, специалисты по безопасности ООН смогли достаточно оперативно устранить уязвимость, констатируют исследователи.

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>