Databreach Nazioni Unite, 100mila dipendenti coinvolti

Un gruppo di specialisti ha rivelato la scoperta di una falla nella sicurezza il cui sfruttamento avrebbe portato all’accesso illegittimo a più di 100.000 registrazioni del personale del Programma delle Nazioni Unite per l’ambiente (UNEP) . Questa violazione dei dati era dovuta a una serie di directory e credenziali Git esposte, che consentivano agli utenti non autorizzati l’accesso alle informazioni di identificazione personale dei dipendenti interessati.

Il rapporto, preparato da Sakura Samurai, menziona che le risorse impegnate sono piene di documenti e schermate che mostrano tutti i tipi di dettagli personali sulle persone colpite.

Questo rapporto è stato presentato attraverso il Programma di divulgazione delle vulnerabilità delle Nazioni Unite dai ricercatori Jackson Henry, Nick Sahler e Aubrey Cottle. Gli esperti hanno trovato le directory Git esposte in domini associati all’UNEP e all’Organizzazione internazionale del lavoro (ILO), anch’essa appartenente all’ONU. I ricercatori sono stati in grado di clonare gli interi repository dei domini .ilo.org e .unep.org utilizzando uno strumento noto come git-dumper.    

Come mostrato nello screenshot seguente, la directory .git memorizza i file sensibili, inclusi i file di configurazione di WordPress, risultando così nell’esposizione delle credenziali del database degli amministratori.

Utilizzando le informazioni compromesse, i ricercatori sono stati in grado di estrarre le informazioni dagli utenti interessati, archiviate in più sottosistemi delle Nazioni Unite. Nel loro campione, gli esperti menzionano di aver trovato la storia di viaggio di centinaia di dipendenti dell’Organizzazione, inclusi nomi completi, destinazione del viaggio, date, tra gli altri dati.

Altre risorse promesse includevano dati demografici del personale, registri di finanziamento e rapporti di valutazione dell’occupazione.

Sebbene le Nazioni Unite abbiano riconosciuto il rapporto sul divario di dati, hanno menzionato agli investigatori che il fallimento causato da questa fuga di notizie non è correlato al Lavoro dell’Organizzazione: “La vulnerabilità segnalata non appartiene al Segretariato delle Nazioni Unite”, riferiscono.

D’altra parte, un rappresentante dell’UNEP ha affermato che la divisione si stava preparando per la divulgazione dell’incidente, anche se ha riconosciuto che si trattava di un fatto senza precedenti: “Vorremmo ringraziare gli specialisti per aver presentato il loro rapporto in applicazione delle Nazioni Unite Programma di divulgazione; l’incidente verrà corretto immediatamente. “