محققان امنیتی با شبیهسازی یک حمله سایبری موفق به کشف حفره امنیتی در سیستمهای سازمان ملل متحد شده و به جزئیات بیش از ۱۰۰ هزار نفر از کارکنان بخش محیط زیست این سازمان دست یافتند.
گروه امنیتی Sakura Samurai که در زمینه شبیهسازی حملات سایبری و گزارش دهی آسیبپذیریها فعال میکند، در بررسیهای خود متوجه چند دایرکتوری Git و فایلهای git-credentials حفاظت نشده در دامنههای مربوط به بخش محیط زیست (UNEP) و سازمان بین المللی کار (ILO) وابسته به سازمان ملل شد.
محققان در بررسیهای خود چندین فایل حساس از جمله فایلهای پیکربندی وردپرس را کشف کردند که نام کاربری و رمز عبور دیتابیس ادمین را افشا میکرد. تعدادی از فایلهای PHP نیز حاوی نام کاربری و رمز عبور دیتابیسها در قالب فایل متنی بودند که متعلق به UNEP و ILO بود. محققان به کمک فایلهای git-credentials توانستند به سورس کدهای بخش محیط زیست سازمان ملل دسترسی پیدا کنند.
محققان با رمزگشایی دادهها توانستند به اطلاعات مهمی از کارکنان سازمان ملل متحد از جمله شماره پرسنلی، اسامی، گروههای کارکنان و سوابق سفر آنها مثل تاریخ شروع و پایان، مقصد و حتی طول مدت مأموریت دسترسی پیدا کنند. محققان با دسترسی به دیتابیسهای دیگر سازمان ملل متحد اطلاعات مربوط به نیروی انسانی شامل ملیت، جنسیت، میزان حقوق هزاران کارمند و همچنین جزئیات تأمین سرمایه پروژهها، سوابق کلی کارکنان و گزارشهای ارزیابی کارکنان را فاش کردند.
Sakura Samurai با انتشار گزارشی اعلام کرد که حفرههای امنیتی را به سازمان ملل گزارش داده و از انجام یک حمله سایبری علیه این سازمان جلوگیری کرده است. محققان اضافه میکنند که حدوداً یک هفته قبل (۴ ژانویه) حفرههای امنیتی را گزارش دادهاند و سازمان ملل در کمتر از یک هفته آنها را برطرف کرده است. با اینکه این آسیبپذیری حالا برطرف شده اما احتمال دسترسی هکرها به دادهها وجود دارد.