Consiguen acceder a más de 100,000 registros de empleados de la ONU: Investigadores de ciberseguridad
El grupo de hackeo ético y ciberseguridad Sakura Samurai descubrió mediante el programa de divulgación de vulnerabilidades de Naciones Unidas que, en cuestión de horas, era posible acceder a los datos privados de más de 100.000 empleado del organismo internacional.
Encontraron fue un subdominio expuesto de la Organización Internacional del Trabajo, el organismo de Naciones Unidas especializado en los asuntos relativos al trabajo y las relaciones laborales.
Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle, los integrantes de este grupo, trataron de buscar vulnerabilidades explorando múltiples endpoints hasta que dieron con uno vulnerable. Uno que exponía credenciales de Git.
A partir de ahí, pudieron acceder a las credenciales de Git que les permitieron obtener, vía exfiltración mediante git-dumper, una base de datos MySQL y una plataforma de gestión de encuestas.
Las credenciales les dieron la posibilidad de descargar los repositorios Git, identificando una tonelada de registros de usuario y PII. Identificaron más de 100.000 registros privados de empleados con información como nombres, números de identificación, género o registros detallados de viajes.