100k di dati trapelati dall'ONU
Buongiorno cari lettori, oggi parleremo di 100k di dati dei dipendenti dei dipendenti.
Il programma delle Nazioni Unite per la divulgazione delle vulnerabilità porta a scoperte sorprendenti, in quanto i ricercatori hanno accesso ai dati privati di 100.000 dipendenti dell'UNEP.
I ricercatori di Sakura Samurai che si occupano di hacking etico e di sicurezza informatica hanno rivelato nuove sorprendenti scoperte di una vulnerabilità che ha permesso loro di accedere ai dati privati di oltre 100.000 dipendenti del Programma delle Nazioni Unite per l'Ambiente (UNEP).
Il team di ricerca comprendeva Jackson Henry, Nick Sahler, John Jackson, il fondatore di Sakura Samurai e Aubrey Cottle, e la scoperta faceva parte del Vulnerability Disclosure Program dell'ONU con HackerOne.
I ricercatori di Sakura Samurai stavano cercando di scoprire le falle di sicurezza che incidono sui sistemi dell'ONU. Inizialmente non sono riusciti a trovare nulla di interessante. Hanno sondato più endpoint che rientravano nel loro ambito di ricerca.
Infine, i ricercatori sono riusciti a trovare un sottodominio esposto dell'Organizzazione Internazionale del Lavoro (OIL). Questo ha permesso loro di accedere alle credenziali Git.
Utilizzando queste credenziali, i ricercatori sono stati in grado di rilevare un database MYSQL ereditato e una piattaforma di gestione dei sondaggi. Hanno utilizzato uno strumento git-dumper per estrarre le credenziali.
L'ONU ha violato i record dei dipendenti a partire da 100K+ record di dipendenti a cui si è avuto accesso
Responsabile dell'elenco di Git per la violazione
Secondo Sakura Samurai, le credenziali e gli elenchi esposti di Git hanno permesso loro di clonare i depositi Git e di raccogliere una grande quantità di informazioni di identificazione personale di oltre 100.000 dipendenti. Il sottodominio esposto presentava un rischio maggiore per la privacy perché faceva trapelare le credenziali Git.
I ricercatori hanno scaricato i contenuti dei file Git e hanno clonato interi repository da *.unep.org e *.ilo.org utilizzando git-dumper. Il contenuto della directory .git includeva file sensibili, per esempio i file di configurazione di WordPress, che esponevano le credenziali del database dell'amministratore.
"Alla fine, una volta scoperte le credenziali di GitHub, siamo stati in grado di scaricare molti progetti GitHub privati protetti da password e, all'interno dei progetti, abbiamo trovato diversi set di credenziali di database e applicazioni per l'ambiente di produzione dell'UNEP", ha dichiarato Jackson in un post del blog.
I ricercatori hanno trovato altre sette coppie di credenziali che avrebbero potuto permettere agli attori della minaccia di accedere a più database. Quindi, il team ha deciso di segnalare la vulnerabilità dopo l'accesso alle PII "esposte tramite backup di database che si trovavano nei progetti privati".
Hanno inoltre identificato diversi file PHP esposti, che contenevano credenziali di database in chiaro collegate ad altri sistemi online dell'OIL e dell'UNEP. Inoltre, utilizzando le credenziali Git accessibili pubblicamente, i ricercatori hanno potuto accedere anche alla base di codice sorgente dell'UNEP.
Dati privati di 100k+ dipendenti esfiltrati
I ricercatori hanno esfiltrato i dati privati di oltre 100.000 dipendenti dell'ONU da diversi sistemi dell'ONU. Il set di dati conteneva la cronologia dei viaggi del personale dell'ONU. Ciascuna delle righe conteneva informazioni sensibili come l'ID del dipendente, gli indirizzi e-mail, i gruppi di dipendenti, i nomi, le giustificazioni del viaggio, lo stato di approvazione, le date di inizio/fine, la destinazione e la durata del soggiorno.
L'ONU ha violato i record del personale delle Nazioni Unite fino a 100K+ accessi
Altri database delle Nazioni Unite a cui hanno avuto accesso contenevano dati demografici delle risorse umane, che comprendevano informazioni sulla nazionalità, il sesso, il grado e la retribuzione di migliaia di dipendenti, oltre a codici sorgente per il finanziamento dei progetti, rapporti di valutazione dei dipendenti e registri generalizzati dei dipendenti.
"Quando abbiamo iniziato a fare ricerche all'ONU, non pensavamo che la situazione sarebbe degenerata così rapidamente. Nel giro di poche ore, avevamo già i dati sensibili e avevamo identificato le vulnerabilità". Nel complesso, in meno di 24 ore abbiamo ottenuto tutti questi dati", hanno osservato i ricercatori.
Il CEO di Dotan Nahum e fondatore di Spectral ha commentato la questione e ha detto a Hackread.com che,
"Ci sono alcune best practice per gli sviluppatori che potrebbero essere mancate in varie fasi del SDLC (Software Development Life-Cycle). Due di queste sono: memorizzare informazioni sensibili e credenziali nel loro codice base che non è consigliato, e la seconda è assicurarsi che i dati sensibili dell'infrastruttura del codice, come i metadati Git (memorizzazione grezza del codice base originale) non siano esposti pubblicamente".
"È facile vedere come una cosa del genere sia sfuggita di mano quando un'organizzazione si affida a un segnale umano: le credenziali nel codice possono essere difficili da rintracciare in grandi database, e gli oggetti dei metadati Git sono solitamente nascosti alla maggior parte degli utenti abituali", ha aggiunto Dotan.
"Per evitare questo tipo di errori, è necessario che ci siano strumenti e automazione in grado di tenere il passo con il ritmo di sviluppo e con i problemi di sicurezza informatica nascosti - inclini all'errore - che sicuramente emergeranno con il tempo man mano che i codici e i team crescono", ha consigliato Dotan.
L'ONU salva la situazione
La vulnerabilità è stata segnalata all'ONU il 4 gennaio 2021. L'Ufficio delle Nazioni Unite per le tecnologie dell'informazione e della comunicazione ha preso atto dei risultati. Inizialmente, ritenevano che le informazioni fossero associate solo all'OIL.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
