آسیب پذیری در سیستم سازمان ملل متحد!☹︎

آسیب‌پذیری در سیستم سازمان ملل متحد باعث افشای اطلاعات بیش از 100 هزار کارمند شد

برنامه دستیابی به آسیب‌پذیری, منجر به کشف حیرت‌انگیز اطلاعات محرمانه 100.000 کارمند UNEP توسط محققان شد. گروه امنیت سایبری ساکورا سامورایی در خصوص..

 

برنامه دستیابی به آسیب‌پذیری, منجر به کشف حیرت‌انگیز اطلاعات محرمانه 100.000 کارمند UNEP توسط محققان شد. گروه امنیت سایبری ساکورا سامورایی در خصوص دسترسی به اطلاعات خصوصی بیش از 100.000 کارمند محیط‌زیست سازمان ملل (UNEP) و آسیب‌پذیری که آن را تحت تأثیر قرار داده بود، به یافته‌های عجیبی دست یافتند.

این گروه تحقیقاتی شامل جکسون هنری، نیک سالر، جان جکسون، بنیان‌گذار ساکورا سامورایی و اوبری کوتل بود و این کشف بخشی از برنامه افشای آسیب‌پذیری سازمان ملل با HackerOne بود. محققان سامورایی ساکورا سعی کردند تا نقص‌های امنیتی مؤثر بر سیستم‌های سازمان ملل را کشف کنند. در ابتدا، آن‌ها نمی‌توانستند چیز جالبی پیدا کنند. آن‌ها نقاط انتهایی متعددی را که در حیطه تحقیق آنان قرار داشت جستجو کردند. سرانجام توانستند زیر دامنه‌ای از سازمان بین‌المللی ILO را پیدا کنند که به آنان امکان دسترسی به فایل‌های Git را می‌داد.

محققان با استفاده از این‌ها توانستند یک دیتابیس MYSQL قدیمی و همچنین یک سیستم‌عامل مدیریت نظرسنجی را بدست آورند. آن‌ها از یک ابزار git dumper استفاده کردند تا مدارک را از بین ببرند.

Git Directory مسئول این شکاف امنیتی است.

طبق گفته ساکورا سامورایی، محتویات فایلهای Git به آنها امکان می‌دهد مخازن Git را شبیه‌سازی کرده و اطلاعات هویتی بیش از 100.000 کارمند را جمع‌آوری کنند.  

جکسون در یک پست وبلاگ اظهار داشت: "سرانجام، هنگامی‌که فایل‌های GitHub را کشف کردیم، توانستیم بسیاری از پروژه‌های GitHub محافظت‌شده با رمز عبور را دانلود کنیم و در داخل پروژه‌ها، مجموعه‌های مختلفی از دیتابیس و نام کاربری برای بخش محیط‌زیست UNEP را پیدا کردیم."

تیم تحقیقاتی در مورد آسیب‌پذیری گزارش داد: درز اطلاعات از طریق بک آپ از دیتابیس در پروژه‌های محرمانه صورت می‌گیرد. آنها فایل‌های مختلف PHP را نیز شناسایی کردند که حاوی اطلاعات دیتابیس ساده مرتبط با سایر سیستم‌های آنلاین UN ILO و UNEP بود. علاوه بر این، محققان توانستند با استفاده از فایل‌های Git که در دسترس عموم است، به سورس کد UNEP نیز دسترسی پیدا کنند.

استخراج داده‌های خصوصی بیش از 100.000 کارمند 

محققان اطلاعات خصوصی بیش از 100000 کارمند سازمان ملل را از چندین سیستم سازمان ملل متحد کشف کردند. مجموعه داده‌ها شامل تاریخچه سفر کارمندان سازمان ملل بود. هر یک از ردیف‌ها شامل اطلاعات حساسی مانند شناسه کارمند، آدرس ایمیل، گروه‌های کارمند، نام، توجیهات سفر، وضعیت تأیید، تاریخ شروع/ پایان، مقصد و مدت اقامت بود.

سایر پایگاه‌های اطلاعاتی سازمان ملل که به آن‌ها دسترسی داشتند، شامل اطلاعات دموگرافیک منابع انسانی بود که شامل ملیت، جنسیت، درجه و اطلاعات مربوط به حقوق هزاران کارمند به همراه کد بودجه پروژه، گزارش ارزیابی کارکنان و سوابق عمومی کارمندان بود.

محققان اشاره کردند: "هنگامی‌که ما تحقیق در مورد سازمان ملل را آغاز کردیم، فکر نمی‌کردیم که آسیب‌پذیری به این سرعت افزایش یابد. ما پیشتر، آن را شناسایی کردیم. به‌طورکلی، در کمتر از 24 ساعت کلیه این داده‌ها را به دست آوردیم."

دوتان ناهوم در این خصوص اظهار داشت: ذخیره اطلاعات حساس در کدبیس آنان توصیه نمی‌شود، و همواره اطمینان حاصل کنید که داده‌های حساس زیرساخت‌های کد، مانند متادیتا Git در معرض دید عموم قرار ندارند. دوتان توصیه کرد: "برای جلوگیری از این نوع اشتباهات، باید ابزاری وجود داشته باشد که بتواند با مسائل امنیتی سایبری پنهان، همراه و همگام باشد که مطمئناً با گذشت زمان و رشد تیم‌ها و کدبیس ها به وقوع خواهد پیوست.

این آسیب‌پذیری در تاریخ 4 ژانویه 2021 به سازمان ملل گزارش شد. دفتر فناوری اطلاعات و ارتباطات سازمان ملل متحد یافته‌ها را تأیید کرد. در ابتدا، آنها معتقد بودند که اطلاعات فقط با سازمان ILO در ارتباط است.

کلاهبرداران از کیف پول جعلی Bitcoin WHO برای سرقت استفاده کردند. بااین‌وجود آنها فهمیدند که داده‌های UNEP نیز در معرض دید قرارگرفته است.

Ridwan Saiful، مدیر راه‌حل‌های سازمانی UNEP، از محققان امنیتی تشکر کرد و خاطرنشان کرد که تیم DevOps آن را پچ کرده بود و گزارش ارزیابی در حال انجام بوده است.