联合国环境规划署暴露10万条员工记录和超过4000个项目信息

安全 应用安全
拥有Sakura Samurai的安全研究人员在联合国环境规划署(UNEP)子域中识别了公开的GitHub凭据,从而使他们可以访问大量数据,包括100,000多个员工记录。

[[375927]]

拥有Sakura Samurai的安全研究人员在联合国环境规划署(UNEP)子域中识别了公开的GitHub凭据,从而使他们可以访问大量数据,包括100,000多个员工记录(下图)。

近日Sakura Samurai的安全人员在研究联合国漏洞披露计划范围内的资产安全漏洞时,发现了一个ilo.org子域,该子域暴露了大量Git账户信息。

泄露的信息可使非授权访问者接管一个SQL数据库,并在国际劳工组织的调查管理平台上执行账户接管。尽管存在严重漏洞,但是这两个资产已经被废弃,没有什么有用数据。

但是,进一步探查后,研究人员成功进入了一个泄露GitHub凭证的UNEP子域,能够访问和下载“很多受密码保护的私有GitHub项目”。

Sakura Samurai指出,这些项目包含多个数据库以及环境署生产环境的应用程序凭证。总计核实了7个凭证对,从而提供了对更多数据库的未授权访问。

研究者在其中一份文件中,确定了两份包含102,000份员工差旅记录的文档。这些记录包括姓名、员工ID号、员工组、旅行理由、旅行的开始和结束日期、批准状态、停留时间和目的地。

研究人员还发现了两个文档,其中一个包含7,000多个人力资源国籍人口统计记录(上图),包括员工姓名和组、ID号、员工的国籍和性别、员工薪资等级以及工作单位标识号和单位文本标签。另一个文档中找到了1,000多个通用员工记录,包括编号、员工姓名和电子邮件以及员工工作子区域。

 

另一份文件披露了超过4,000个项目和资金来源记录(上图),包括受影响的地区、赠款和联合融资金额、资金来源、项目标识号、执行机构、国家、项目期限和批准状态。包含评估报告的文档里有关283个项目的信息,包括评估和报告的总体描述、评估进行的时期以及报告的链接。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-01-20 09:51:56

数据泄漏攻击漏洞

2012-03-29 22:55:05

手机

2020-01-18 08:59:23

恶意软件网络钓鱼攻击

2014-11-14 09:39:32

2022-04-12 16:39:55

数据泄露网络攻击

2017-07-25 11:06:45

新华三

2022-12-05 11:52:55

SPARK Lab

2022-11-01 10:12:18

2021-11-18 11:45:54

Stripchat漏洞信息泄露

2013-10-25 09:22:14

2022-01-12 11:12:21

区块链加密货币技术

2021-01-29 23:12:25

区块链教育学习

2014-01-21 17:36:58

2013-03-28 13:08:15

Web缓存

2020-03-31 14:19:11

智慧农业5G技术

2020-05-12 17:21:11

黑客数据泄露恶意软件

2024-03-22 12:26:27

2015-03-03 09:52:02

点赞
收藏

51CTO技术栈公众号