Программа ООН по окружающей среде раскрыла более 100 тыс. записей о сотрудниках

Программа ООН по окружающей среде раскрыла более 100 тыс. записей о сотрудниках

На поддомене программы хранились незащищенные учетные данные для доступа ко множеству проектов GitHub.

Исследователи безопасности из Sakura Samurai обнаружили незащищенные учетные данные для GitHub на поддомене Программы ООН по окружающей среде. С их помощью эксперты смогли получить доступ к большому объему информации, в том числе к более 100 тыс. записей о сотрудниках.

В процессе поиска уязвимостей в рамках программы ООН по раскрытию уязвимостей исследователи обнаружили на поддомене ilo.org содержимое .git. Благодаря незащищенным учетным данным эксперты смогли авторизоваться в базе данных SQL и подключиться к платформе управления исследованиями Международной организации труда. Однако оба ресурса оказались заброшенными, поэтому содержат мало полезной информации.

С помощью фаззинга эксперты также обнаружили поддомен Программы ООН по окружающей среде, содержащий учетные данные для GitHub, с помощью которых им удалось загрузить множество закрытых, защищенных паролем проектов GitHub. В общей сложности исследователи выявили семь пар логинов и паролей, предоставивших им неавторизованный доступ к другим базам данных.

В одной из баз данных содержались два документа с более чем 102 тыс. записей о поездках сотрудников. В записях содержались такие сведения, как имена, идентификаторы сотрудников, группы сотрудников, даты и цели поездок и пр.

Еще в двух документах содержатся такие сведения о сотрудниках, как имена, национальность, пол, размер зарплаты, идентификационный номер и пр. В другом документе было обнаружено более 1 тыс. обобщенных записей о сотрудниках: порядковые номера, имена и адреса электронной почты, а также сферы занятости.

Другой документ содержит более 4 тыс. записей о проектах и источниках финансирования, включая затронутые районы, суммы грантов и софинансирования, источники финансирования, идентификационные номера проектов, агентства-исполнители, страны, период работы над проектом и статус утверждения.

Еще один документ, с отчетами об оценке, содержит информацию о 283 проектах, включая общее описание оценок и отчетов, периоды, когда проводилась оценка, и ссылки на отчет.

Источник: Securitylab