Etikus hackerek 24 óra alatt bejutottak az ENSZ rendszereibe

Érdekes dokumentációt tett közzé a mai nap folyamán szakértők egy csoportja az ENSZ biztonsági rendszerével kapcsolatban. Rávilágítottak, hogy egy sérülékenységet kihasználva több mint 100 ezer dolgozó adataihoz férhetnek hozzá, akik az ENSZ Környezetvédelmi Programjánál (UNEP) dolgoznak. Alapvetően a biztonsági réshez GIT könyvtárakon és belépési adatokon keresztül jutottak el a szakértők, majd a GIT könyvtárak lemásolása után máris hozzáfértek rengeteg olyan adathoz, amellyel azonosíthatóak voltak az UNEP dolgozói. Nagy szerencse elvileg, hogy a Sakura Samurai, etikus hackeléssel és biztonsági szakértői szolgáltatásokkal foglalkozó etikus hacker csoport tetté közzé a problémát. Nem pedig mondjuk egy olyan csoport, amely már a darkweben árulná valószínűleg az adatokat.

Etikus hackerek világítottak rá több súlyos biztonsági résre az UNEP rendszerében

A biztonsági réssel kapcsolatban egyébként több számítógépes portálhoz is juttatott el a csoport adatokat és képernyőfotókat, ezek alapján ténylegesen komoly problémáról lehetett szó. A Sakura Samurai négy biztonsági szakértője egyébként az ENSZ felkérésére, a világszervezettel együttműködve hajtotta végre a kutatásait. Nem kellett túl sokat keresgélniük, ugyanis az UNEP domainjén belefutottak .git és .git-credentials kiterjesztésű fájlokba, amelyeket aztán le is tudtak menteni. Ezen csomagok elemzése után aztán belefutottak olyan WordPress konfigurációs fájlokba, amelyek az adminisztrátori jelszót tartalmazták az adatbázisokhoz.

Innentől kezdve pedig már nem volt nehéz dolguk, hogy hozzáférjenek az adatokhoz. De a WordPress konfigurációs fájl mellett több olyan PHP fájlt is találtak, amelyekben szintén ott szerepeltek az adatbázis belépési információk az UNEP egyes rendszereihez. Sőt, a szakértők a .git-credentials fájl segítségével képesek voltak az UNEP forráskódjához is hozzáférni. És ránézve arra, hogy mit is tudtak begyűjteni az adatbázisokból, látható, hogy tényleg elég komoly adathalmazról van szó.

A kiszivárgott adatok egy része

Forrás: Sakura Samurai

Lehetett azt látni, hogy az UNEP képviseletében melyik dolgozó hova utazott, mikor és miért. De például az UNEP HR osztályának adatait is lehetett látni, azaz be lehetett minden dolgozóról azonosítani a nemzetiségét, nemét és fizetési osztályát is. A hírekből az is kiderült, hogy a sérülékenység jelentése után az ENSZ informatikusai azonnal megtették a szükséges módosításokat és intézkedéseket. A Sakura Samurai azt közölte nemrég, hogy az UNEP szakemberei tényleg gyorsan meg tudták oldani a problémát a bejelentésük után. Az ENSZ amúgy hasonló biztonsági rések miatt többször szenvedett már komoly adatvesztést és hackereknek sikerült is bejutni az ENSZ hálózatába és adatbázisaiba még 2019-ben.