El programa de divulgación de vulnerabilidades de Naciones Unidas ha permitido descubrir que, en cuestión de horas, era posible acceder a los datos privados de más de 100.000 empleado del organismo internacional. El responsable del hallazgo ha sido el grupo de hackeo ético y ciberseguridad Sakura Samurai.
Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle, los integrantes de este grupo, trataron de buscar vulnerabilidades explorando múltiples endpoints hasta que dieron con uno vulnerable. Uno que exponía credenciales de Git.
Buscando vulnerabilidades para arreglarlas
Lo que primero encontraron fue un subdominio expuesto de la Organización Internacional del Trabajo, el organismo de Naciones Unidas especializado en los asuntos relativos al trabajo y las relaciones laborales. A partir de ahí, pudieron acceder a las credenciales de Git que les permitieron obtener, vía exfiltración mediante git-dumper, una base de datos MySQL y una plataforma de gestión de encuestas.
Tirando del hilo, y tras comprobar que lo anterior no contenía prácticamente nada de utilidad, finalmente hallaron un subdominio del Programa de las Naciones Unidas para el Medio Ambiente.
"En última instancia, una vez que descubrimos las credenciales de GitHub, pudimos descargar un montón de proyectos privados de GitHub protegidos por contraseña y dentro de los proyectos encontramos múltiples conjuntos de credenciales de bases de datos y aplicaciones para el entorno de producción del PNUMA", explica Jackson en una publicación en su web.
Las credenciales les dieron la posibilidad de descargar los repositorios Git, "identificando una tonelada de registros de usuario y PII".
Tras tratar toda la información, identificaron más de 100.000 registros privados de empleados con información como nombres, números de identificación, género o registros detallados de viajes. También vieron que era posible acceder sin autorización a múltiples bases de datos. Llegados a este punto, notificaron la vulnerabilidad a Naciones Unidas. Según Hack News, ya ha sido parcheada.
Ver todos los comentarios en https://www.genbeta.com
VER 0 Comentario