Des chercheurs en sécurité ont découvert et exploité avec succès une vulnérabilité qui leur a donné accès à plus de 100 000 dossiers privés d’employés appartenant au Programme des Nations Unies pour l’environnement (PNUE).
La découverte a été faite par le groupe de recherche sur le piratage éthique et la sécurité Sakura Samurai après que ses membres Jackson Henry, Nick Sahler, John Jackson et Aubrey Cottle soient tombés sur le programme de divulgation de la vulnérabilité et le Panthéon de l’ONU.
En essayant de trouver des vulnérabilités à signaler à l’ONU, les chercheurs sont tombés sur des répertoires Git (.git) et des fichiers d’informations d’identification Git (.git-credentials) exposés sur des domaines associés au PNUE et à l’Organisation internationale du travail (OIT) des Nations Unies. Sakura Samurai a ensuite vidé le contenu de ces fichiers Git et cloné des référentiels entiers à l’aide de git-dumper.
Le répertoire .git contenait des fichiers sensibles, y compris des fichiers de configuration WordPress qui exposaient les informations d’identification de la base de données de l’administrateur. Un certain nombre de fichiers PHP exposés dans la violation de données contenaient également des informations d’identification de base de données en texte clair associées à des systèmes en ligne externes du PNUE et de l’ONU-OIT. Enfin, les fichiers .git-credentials accessibles au public ont permis aux chercheurs d’accéder à la base de code source du PNUE.
Sommaire
Violation de données de l’ONU
L’ensemble de données obtenu par Sakura Samurai contenait une mine d’informations sur l’historique de voyage du personnel de l’ONU, y compris leurs identifiants d’employés, leurs noms, les groupes d’employés, la justification du voyage, les dates de début et de fin, le statut d’approbation, la destination et même la durée du séjour.
Dans d’autres bases de données des Nations Unies, les chercheurs ont consulté des données démographiques sur les ressources humaines, y compris la nationalité, le sexe et le niveau de rémunération, sur des milliers d’employés, ainsi que les registres des sources de financement des projets, les registres généraux des employés et les rapports d’évaluation de l’emploi.
Dans un article de blog, les chercheurs de Sakura Samurai ont expliqué avoir contacté l’ONU au sujet de la violation de données après avoir accédé aux sauvegardes de bases de données dans des projets privés, en disant:
«En fin de compte, une fois que nous avons découvert les informations d’identification GitHub, nous avons pu télécharger un grand nombre de projets GitHub privés protégés par mot de passe et dans les projets, nous avons trouvé plusieurs ensembles d’informations d’identification de base de données et d’application pour l’environnement de production du PNUE. Au total, nous avons trouvé 7 paires d’informations d’identification supplémentaires qui auraient pu entraîner un accès non autorisé à plusieurs bases de données. Nous avons décidé d’arrêter et de signaler cette vulnérabilité une fois que nous avons pu accéder aux informations personnelles exposées via les sauvegardes de bases de données qui se trouvaient dans les projets privés. »
Les chercheurs ont d’abord divulgué la vulnérabilité à l’ONU le 4 janvier et l’organisation a ensuite été en mesure de corriger rapidement le problème de sécurité en moins d’une semaine. Cependant, les cybercriminels ont peut-être également pu avoir accès à ces données sur les employés de l’ONU.
Via BleepingComputer
