热议 | 联合国公开的Git凭据致使数十万员工信息暴露

喜欢就关注我们吧！安全研究小组 Sakura Samurai 披露了一个安全漏洞，他们利用这一漏洞访问联合国环境规划署超 10 万个员工的信息。在参与联合国的漏洞披露和名人馆资讯安全计划时，Sakura Samurai 小组发现了暴露 Git 凭据的端点。这些凭据使他们能够下载 Git 存储库，从而识别大量用户凭据和个人身份信息 PII。Sakura Samurai 起初接管了国际劳工组织的一个 MySQL 数据库并在调查管理平台上执行帐户接管之后，开始列举其他域/子域。最终在联合国环境规划署的子域中找到了一个子域，在该子域中发现 GitHub 凭据，然后通过这个凭据下载了大量仓库，再从仓库的公开 .git 目录里提取内容。他们总共识别出超过 10 万个联合国环境署的员工记录。另外 Sakura Samurai 还在联合国服务 ………………………………