آسیب‌پذیری در سیستم سازمان ملل متحد اطلاعات بیش از ۱۰۰ هزار کارمند را فاش کرد

گروه امنیتی Sakura Samurai که در زمینه شبیه‌سازی حملات سایبری و گزارش دهی آسیب‌پذیری‌ها فعال می‌کند، در بررسی‌های خود متوجه چند دایرکتوری Git و فایل‌های git-credentials حفاظت نشده در دامنه‌های مربوط به‌ بخش محیط زیست (UNEP) و سازمان بین المللی کار (ILO) وابسته به سازمان ملل شد.

محققان در بررسی‌های خود چندین فایل حساس از جمله فایل‌های پیکربندی وردپرس را کشف کردند که نام کاربری و رمز عبور دیتابیس ادمین را افشا می‌کرد. تعدادی از فایل‌های PHP نیز حاوی نام کاربری و رمز عبور دیتابیس‌ها در قالب فایل متنی بودند که متعلق به UNEP و ILO بود. محققان به کمک فایل‌های git-credentials توانستند به سورس کدهای‌ بخش محیط زیست سازمان ملل دسترسی پیدا کنند.

محققان با رمزگشایی داده‌ها توانستند به اطلاعات مهمی از کارکنان سازمان ملل متحد از جمله شماره پرسنلی، اسامی، گروه‌های کارکنان و سوابق سفر آنها مثل تاریخ شروع و پایان، مقصد و حتی طول مدت مأموریت دسترسی پیدا کنند. محققان با دسترسی به دیتابیس‌های دیگر سازمان ملل متحد اطلاعات مربوط به نیروی انسانی شامل ملیت، جنسیت، میزان حقوق هزاران کارمند و همچنین جزئیات تأمین سرمایه پروژه‌ها، سوابق کلی کارکنان و گزارش‌های ارزیابی کارکنان را فاش کردند.

Sakura Samurai با انتشار گزارشی اعلام کرد که حفره‌های امنیتی را به سازمان ملل گزارش داده و از انجام یک حمله سایبری علیه این سازمان جلوگیری کرده است. محققان اضافه می‌کنند که حدوداً یک هفته قبل (۴ ژانویه) حفره‌های امنیتی را گزارش داده‌اند و سازمان ملل در کمتر از یک هفته آنها را برطرف کرده است. با اینکه این آسیب‌پذیری حالا برطرف شده اما احتمال دسترسی هکرها به داده‌ها وجود دارد.