ช่องโหว่ระบบของ UNEP อาจทำให้ข้อมูลเจ้าหน้าที่ UN รั่วไหล

ทีม White Hackerและนักวิจัยด้านความปลอดภัยไอที Sakura Samurai เปิดเผยการค้นพบที่น่าตกใจให้กับบริษัท HackerOne เกี่ยวกับช่องโหว่ชนิดหนึ่งที่ทำให้เข้าถึงข้อมูลเจ้าหน้าที่โครงการสิ่งแวดล้อมแห่งสหประชาชาติ (UNEP) กว่า 100,000 คน

สำหรับการละเมิดข้อมูลที่พบ เกิดจากที่ทีมวิจัยฯ ได้ทดลองแฮกเกอร์เข้าระบบของ UNEP และองค์การแรงงานระหว่างประเทศ (ILO) ของสหประชาชาติ แล้วพบว่า โดเมนย่อยที่ใช้ Git เก็บข้อมูลแบบไม่รัดกุม และมีช่องโหว่ที่อนุญาตให้บุคคลภายนอกเข้าถึง git directory ( .git ) และไฟล์ข้อมูลรับรอง Git ( .git-credentials ) ได้ โดยทีมวิจัยฯ ทดลองเจาะข้อมูลส่วนตัวของพนักงาน UN ได้มากกว่า 100,000 คนจากระบบ UN หลายระบบ ซึ่งเป็นข้อมูลเกี่ยวกับ ประวัติและข้อมูลส่วนบุคคลของเจ้าหน้าที่สหประชาชาติ เช่น รหัสพนักงาน ชื่อ-นามสุกล ที่อยู่ อีเมลกลุ่มพนักงาน เหตุผลในการเดินทาง สถานะการอนุมัติวันที่เริ่มต้น / สิ้นสุดปลายทางและระยะเวลาพำนัก เป็นต้น

โดยช่องโหว่ดังกล่าวได้รายงานไปยัง UNEP และ HackerOne แล้ว ซึ่งทาง UNEP ก็รับทราบและกล่าวขอบคุณทีมนักวิจัยฯ และจะเร่งดำเนินการแก้ไขให้ไวที่สุด

ที่มา: https://www.hackread.com/un-hacked-employee-records-accessed/

ภาพจาก : Daryan Shamkhali on Unsplash