拥有Sakura Samurai联合国环境规划署的安全研究人员(UNEP)子域识别公开GitHub这样他们就可以访问大量的数据,包括1万多名员工的记录(下图)。
近日Sakura Samurai在研究联合国漏洞披露计划范围内的资产安全漏洞时,安全人员发现了一个漏洞ilo.org子域暴露了大量的子域Git账户信息。
非授权访问者可以接管泄露的信息SQL数据库,并在国际劳工组织的调查管理平台上执行账户接管。尽管存在严重漏洞,但是这两个资产已经被废弃,没有什么有用数据。
然而,经过进一步的探索,研究人员成功地进入了泄漏GitHub凭证的UNEP子域可以访问和下载“许多私有密码受密码保护GitHub项目”。
Sakura Samurai指出这些项目包括多个数据库和环境署生产环境的应用程序凭证。共核实了7张凭证,为更多数据库提供未经授权的访问。
研究人员在其中一份文件中确定了两份文件,包括1万份员工差旅记录。这些记录包括姓名和员工ID号码、员工组、旅行理由、开始和结束日期、批准状态、停留时间和目的地。
研究人员还发现了7000多份人力资源国籍统计记录(上图)两份文件,包括员工姓名和组ID号码、员工国籍和性别、员工工资水平、工作单位标识号和文本标签。在另一份文件中发现了1000多个通用员工记录,包括编号、姓名、电子邮件和员工工作子区。
另一份文件披露了4000多个项目和资金来源记录(上图),包括受影响的地区、礼品和联合融资金额、资金来源、项目标识号、执行机构、国家、项目期限和批准状态。包括评估报告文件中关于283个项目的信息,包括评估和报告的总体描述、评估期限和报告链接。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章