ทีม White Hackerและนักวิจัยด้านความปลอดภัยไอที Sakura Samurai เปิดเผยการค้นพบที่น่าตกใจให้กับบริษัท HackerOne เกี่ยวกับช่องโหว่ชนิดหนึ่งที่ทำให้เข้าถึงข้อมูลเจ้าหน้าที่โครงการสิ่งแวดล้อมแห่งสหประชาชาติ (UNEP) กว่า 100,000 คน

สำหรับการละเมิดข้อมูลที่พบ เกิดจากที่ทีมวิจัยฯ ได้ทดลองแฮกเกอร์เข้าระบบของ UNEP และองค์การแรงงานระหว่างประเทศ (ILO) ของสหประชาชาติ แล้วพบว่า โดเมนย่อยที่ใช้ Git เก็บข้อมูลแบบไม่รัดกุม และมีช่องโหว่ที่อนุญาตให้บุคคลภายนอกเข้าถึง git directory ( .git ) และไฟล์ข้อมูลรับรอง Git ( .git-credentials ) ได้ โดยทีมวิจัยฯ ทดลองเจาะข้อมูลส่วนตัวของพนักงาน UN ได้มากกว่า 100,000 คนจากระบบ UN หลายระบบ ซึ่งเป็นข้อมูลเกี่ยวกับ ประวัติและข้อมูลส่วนบุคคลของเจ้าหน้าที่สหประชาชาติ เช่น รหัสพนักงาน ชื่อ-นามสุกล ที่อยู่ อีเมลกลุ่มพนักงาน เหตุผลในการเดินทาง สถานะการอนุมัติวันที่เริ่มต้น / สิ้นสุดปลายทางและระยะเวลาพำนัก เป็นต้น

โดยช่องโหว่ดังกล่าวได้รายงานไปยัง UNEP และ HackerOne แล้ว ซึ่งทาง UNEP ก็รับทราบและกล่าวขอบคุณทีมนักวิจัยฯ และจะเร่งดำเนินการแก้ไขให้ไวที่สุด

ที่มา: https://www.hackread.com/un-hacked-employee-records-accessed/

ภาพจาก : Daryan Shamkhali on Unsplash



เนื้อหาที่เกี่ยวข้อง

1. ช่องโหว่ PrintNightmare กระทบ Windows ทุกเวอร์ชัน

2. พบช่องโหว่ Cisco ASA เสี่ยงถูกควบคุมเครื่อง แนะนำให้ผู้ใช้งานเร่งอัปเดต

3. ข้อมูลลูกค้า Volkswagen 5 ล้านรายการถูกขายบนแฮกเกอร์ฟอรั่ม

4. McDonald’s ยอมรับโดนแฮกข้อมูล

5. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ