ทีม White Hackerและนักวิจัยด้านความปลอดภัยไอที Sakura Samurai เปิดเผยการค้นพบที่น่าตกใจให้กับบริษัท HackerOne เกี่ยวกับช่องโหว่ชนิดหนึ่งที่ทำให้เข้าถึงข้อมูลเจ้าหน้าที่โครงการสิ่งแวดล้อมแห่งสหประชาชาติ (UNEP) กว่า 100,000 คน

สำหรับการละเมิดข้อมูลที่พบ เกิดจากที่ทีมวิจัยฯ ได้ทดลองแฮกเกอร์เข้าระบบของ UNEP และองค์การแรงงานระหว่างประเทศ (ILO) ของสหประชาชาติ แล้วพบว่า โดเมนย่อยที่ใช้ Git เก็บข้อมูลแบบไม่รัดกุม และมีช่องโหว่ที่อนุญาตให้บุคคลภายนอกเข้าถึง git directory ( .git ) และไฟล์ข้อมูลรับรอง Git ( .git-credentials ) ได้ โดยทีมวิจัยฯ ทดลองเจาะข้อมูลส่วนตัวของพนักงาน UN ได้มากกว่า 100,000 คนจากระบบ UN หลายระบบ ซึ่งเป็นข้อมูลเกี่ยวกับ ประวัติและข้อมูลส่วนบุคคลของเจ้าหน้าที่สหประชาชาติ เช่น รหัสพนักงาน ชื่อ-นามสุกล ที่อยู่ อีเมลกลุ่มพนักงาน เหตุผลในการเดินทาง สถานะการอนุมัติวันที่เริ่มต้น / สิ้นสุดปลายทางและระยะเวลาพำนัก เป็นต้น

โดยช่องโหว่ดังกล่าวได้รายงานไปยัง UNEP และ HackerOne แล้ว ซึ่งทาง UNEP ก็รับทราบและกล่าวขอบคุณทีมนักวิจัยฯ และจะเร่งดำเนินการแก้ไขให้ไวที่สุด

ที่มา: https://www.hackread.com/un-hacked-employee-records-accessed/

ภาพจาก : Daryan Shamkhali on Unsplash



เนื้อหาที่เกี่ยวข้อง

1. Microsoft แชร์วิธีแฮกเกอร์โจมตี SolarWinds และหลบเลี่ยงระบบตรวจจับ

2. พบ Bug ใน Windows 10 ทำให้ขึ้นจอฟ้า (Blue-Screen)

3. VLC ออกเวอร์ชัน 3.0.12 มีแก้ไขเรื่อง ความปลอดภัย ผู้ใช้ควรอัปเดต

4. Source Code ของ Nissan รั่ว 20 GB เหุตเพราะ Password เดาง่าย

5. CISA เตือนองค์กรที่ใช้บริการ Cloud หลังจากพบการโจมตีหลายรูปแบบ