Los investigadores de seguridad descubrieron y explotaron con éxito una vulnerabilidad que les dio acceso a más de 100.000 registros privados de empleados del Programa de las Naciones Unidas para el Medio Ambiente (PNUMA).
El descubrimiento fue realizado por el grupo de investigación de seguridad y piratería ética Sakura Samurai después de que sus miembros Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle se encontraran con el Programa de Divulgación de Vulnerabilidades y el Salón de la Fama. NACIONES UNIDAS.
Al intentar encontrar vulnerabilidades para informar a la ONU, los investigadores descubrieron directorios de Git (.git) y archivos de credenciales de Git (.git-credentials) en dominios asociados con el PNUMA y el Organización Internacional del Trabajo de las Naciones Unidas (OIT). Sakura Samurai luego volcó el contenido de estos archivos Git y clonó repositorios completos usando git-dumper.
El directorio .git contenía archivos confidenciales, incluidos archivos de configuración de WordPress que exponían las credenciales de la base de datos del administrador. Varios de los archivos PHP expuestos en la violación de datos también contenían credenciales de bases de datos de texto sin formato asociadas con sistemas en línea externos del PNUMA y ONU-OIT. Finalmente, los archivos .git-credentials de acceso público permitieron a los investigadores acceder a la base del código fuente del PNUMA.
Violación de datos de la ONU
El conjunto de datos obtenido por Sakura Samurai contenía una gran cantidad de información sobre el historial de viajes del personal de la ONU, incluidas sus identificaciones de empleados, nombres, grupos de empleados, motivo del viaje, fechas de inicio y finalización, estado de aprobación, destino e incluso duración de la estadía.
En otras bases de datos de las Naciones Unidas, los investigadores buscaron datos demográficos de recursos humanos, incluida la nacionalidad, el género y el nivel salarial, de miles de empleados, así como registros de fuentes. financiación de proyectos, registros generales de empleados e informes de evaluación de puestos.
En una publicación de blog, los investigadores de Sakura Samurai explicaron que se comunicaron con la ONU sobre la violación de datos después de acceder a las copias de seguridad de la base de datos en proyectos privados, diciendo:
“En última instancia, una vez que nos enteramos de las credenciales de GitHub, pudimos descargar una gran cantidad de proyectos de GitHub privados y protegidos con contraseña, y dentro de los proyectos encontramos varios conjuntos de información de base de datos e identificación de aplicaciones para el entorno de producción del PNUMA. En total, encontramos 7 pares de credenciales adicionales que podrían haber dado lugar a un acceso no autorizado a varias bases de datos. Decidimos detenernos y reportar esta vulnerabilidad una vez que pudimos acceder a la información personal expuesta a través de las copias de seguridad de la base de datos que estaban en los proyectos privados. "
Los investigadores revelaron por primera vez la vulnerabilidad a la ONU el 4 de enero, y la organización pudo solucionar rápidamente el problema de seguridad en menos de una semana. Sin embargo, es posible que los ciberdelincuentes también hayan podido acceder a estos datos sobre los empleados de la ONU.
Vía BleepingComputer