據一組獨立安全研究人員稱，聯合國環境規劃署（簡稱“環境署”）所屬GitHub庫的一個漏洞暴露了超過10萬條員工記錄，包括個人身份信息、聯繫方式和其他敏感數據。環境署負責協調聯合國的環境活動。一個新的道德黑客組織Sakura Samurai在其報告中指出，這些漏洞源於一個暴露GitHub存儲庫憑證的終端。

“這些憑證讓我們有能力下載GitHub庫，識別出大量的用戶憑證和個人身份信息。我們總共識別了超過10萬條私人員工記錄。”該小組的安全研究人員之一John Jackson說。

分析還顯示，在聯合國擁有的名為ilo.org的網絡服務器上有多個.Git目錄。Jackson在報告中寫道：“這些.Git內容就可以用各種工具（如’git-dumper’）進行外洩。”

據Sakura Samurai報導，在研究人員將他們的發現通知給聯合國後，該國際組織修復了該漏洞，GitHub庫已無法訪問。目前無法立即聯繫到聯合國發言人發表評論。研究人員還指出，雖然沒有證據表明有威脅行為者訪問了這些數據，但這樣做相對容易。

研究人員首先接管了屬於聯合國國際勞工組織的一個MySQL數據庫和一個調查管理平台，開始了他們的行動。然後，該小組分析了MySQL數據庫中的域，找到了UNEP的子域，這讓他們找到了GitHub的憑證。

“最終，一旦我們發現了GitHub憑證，我們就能夠下載很多受密碼保護的私人GitHub項目，在這些項目中，我們發現了UNEP生產環境的多套數據庫和應用憑證，”Jackson指出。

暴露的數據包括超過102000條聯合國員工的記錄，包括員工的身份證號碼、姓名和其他敏感數據。報告稱，還可以訪問7000多條員工國籍記錄、1000多條普通員工記錄、項目和資金數據以及環境署項目的評估記錄。

研究人員還指出，他們能夠找到更多UNGitHub庫的憑證，這可能導致更多未經授權的訪問多個UN數據庫。“我們決定停止並報告這個漏洞，一旦我們能夠訪問通過數據庫備份暴露的私人項目中的（個人身份信息），”Jackson寫道。

GitHub存儲庫中暴露的員工數據可能會給聯合國帶來重大的網絡威脅。“對員工數據洩露的主要擔憂是，在對員工本身以及與他們互動的任何商業夥伴進行高度針對性的後續社會工程攻擊時有用，”安全公司Cerberus Sentinel的解決方案架構副總裁Chris Clements說。

“所披露的管理憑證很可能已經足以損害脆弱的應用程序以及共享相同基礎設施或重用相同密碼的其他應用程序。擁有這種訪問權限的攻擊者可以將惡意軟件插入生產應用程序中，試圖感染用戶。”

安全公司KnowBe4的安全意識倡導者Javvad Malik表示，攻擊者可能會使用這些暴露的數據。“獲得對員工潛在敏感信息的訪問權限，可以通過網絡釣魚、密碼重置或身份竊取來利用對組織、同事或個人本身的攻擊，”Malik說。

其他攻擊

隨著COVID-19的到來，攻擊者一直在欺騙聯合國和其他機構，作為他們利用流行病主題的運動的一部分。

2月，安全公司Kaspersky和Sophos報告說，黑客利用設計成美國疾病控制和預防中心和聯合國世界衛生組織的域名進行網絡釣魚活動。

根據谷歌威脅分析小組的報告，5月份，在印度活動的”hack-for-hire” 組織發出欺騙世界衛生組織的電子郵件，以竊取世界各地金融服務、諮詢和醫療保健公司員工的證書。