联合国数据安全(联合国数据泄露泄露)
联合国数据安全(联合国数据泄露泄露)
研究人员已经揭露了一个安全漏洞,他们可以利用该漏洞访问联合国环境规划署(UNEP)超过10万名私人雇员的记录。数据泄露源于暴露的Git目录和凭证,这允许研究人员克隆Git存储库,并收集与超过10万名员工相关的大量个人身份信息(PII)。道德黑客和安全研究小组“樱花武士”日前披露了他们对一个漏洞的发现,该漏洞允许他们访问超过10万名联合国环境规划署(UNEP)雇员的私人数据。
他们在与联合国环境规划署(UNEP)和联合国国际劳工组织(ILO)相关的域名上发现了暴露的Git目录(. Git)和Git证书文件(. Git -credentials)。研究人员能够转储这些Git文件的内容,并使用Git -dump从*.ilo.org和*.unep.org域克隆整个存储库。git目录内容包含敏感文件,例如暴露管理员数据库凭证的WordPress配置文件(wp-config.php)。
利用这些凭证,研究人员从多个联合国系统窃取了超过10万名雇员的私人信息。该小组获得的数据集公开了联合国工作人员的旅行历史,每行包含:员工ID、姓名、员工组、旅行理由、开始和结束日期、批准状态、目的地和逗留时间。同样,作为分析的一部分,研究人员访问的其他联合国数据库披露了数千名员工的人力资源人口统计数据(国籍、性别、薪酬级别)、项目资金来源记录、总体员工记录和就业评估报告。