На поддомене программы хранились незащищенные учетные данные для доступа ко множеству проектов GitHub.
Исследователи безопасности из Sakura Samurai обнаружили незащищенные учетные данные для GitHub на поддомене Программы ООН по окружающей среде. С их помощью эксперты смогли получить доступ к большому объему информации, в том числе к более 100 тыс. записей о сотрудниках.
В процессе поиска уязвимостей в рамках программы ООН по раскрытию уязвимостей исследователи обнаружили на поддомене ilo.org содержимое .git. Благодаря незащищенным учетным данным эксперты смогли авторизоваться в базе данных SQL и подключиться к платформе управления исследованиями Международной организации труда. Однако оба ресурса оказались заброшенными, поэтому содержат мало полезной информации.
С помощью фаззинга эксперты также обнаружили поддомен Программы ООН по окружающей среде, содержащий учетные данные для GitHub, с помощью которых им удалось загрузить множество закрытых, защищенных паролем проектов GitHub. В общей сложности исследователи выявили семь пар логинов и паролей, предоставивших им неавторизованный доступ к другим базам данных.
В одной из баз данных содержались два документа с более чем 102 тыс. записей о поездках сотрудников. В записях содержались такие сведения, как имена, идентификаторы сотрудников, группы сотрудников, даты и цели поездок и пр.
Еще в двух документах содержатся такие сведения о сотрудниках, как имена, национальность, пол, размер зарплаты, идентификационный номер и пр. В другом документе было обнаружено более 1 тыс. обобщенных записей о сотрудниках: порядковые номера, имена и адреса электронной почты, а также сферы занятости.
Другой документ содержит более 4 тыс. записей о проектах и источниках финансирования, включая затронутые районы, суммы грантов и софинансирования, источники финансирования, идентификационные номера проектов, агентства-исполнители, страны, период работы над проектом и статус утверждения.
Еще один документ, с отчетами об оценке, содержит информацию о 283 проектах, включая общее описание оценок и отчетов, периоды, когда проводилась оценка, и ссылки на отчет.
Источник: securitylab