Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17788 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
联合国环境规划署暴露10万条员工记录和超过4000个项目信息
本文来自公众号:安全牛   2021.01.14 10:43:45


点击蓝字关注我们




拥有Sakura Samurai的安全研究人员在联合国环境规划署(UNEP)子域中识别了公开的GitHub凭据,从而使他们可以访问大量数据,包括100,000多个员工记录(下图)。



近日Sakura Samurai的安全人员在研究联合国漏洞披露计划范围内的资产安全漏洞时,发现了一个ilo.org子域,该子域暴露了大量Git账户信息。


泄露的信息可使非授权访问者接管一个SQL数据库,并在国际劳工组织的调查管理平台上执行账户接管。尽管存在严重漏洞,但是这两个资产已经被废弃,没有什么有用数据。


但是,进一步探查后,研究人员成功进入了一个泄露GitHub凭证的UNEP子域,能够访问和下载“很多受密码保护的私有GitHub项目”。


Sakura Samurai指出,这些项目包含多个数据库以及环境署生产环境的应用程序凭证。总计核实了7个凭证对,从而提供了对更多数据库的未授权访问。


研究者在其中一份文件中,确定了两份包含102,000份员工差旅记录的文档。这些记录包括姓名、员工ID号、员工组、旅行理由、旅行的开始和结束日期、批准状态、停留时间和目的地。



研究人员还发现了两个文档,其中一个包含7,000多个人力资源国籍人口统计记录(上图),包括员工姓名和组、ID号、员工的国籍和性别、员工薪资等级以及工作单位标识号和单位文本标签。另一个文档中找到了1,000多个通用员工记录,包括编号、员工姓名和电子邮件以及员工工作子区域。



另一份文件披露了超过4,000个项目和资金来源记录(上图),包括受影响的地区、赠款和联合融资金额、资金来源、项目标识号、执行机构、国家、项目期限和批准状态。包含评估报告的文档里有关283个项目的信息,包括评估和报告的总体描述、评估进行的时期以及报告的链接。





相关阅读

是时候重视GitHub的安全威胁了

GitHub是个敏感数据宝库 可以从中收割数据

GitHub推出安全实验室 提升代码共享生态安全


合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com