El programa de divulgación de vulnerabilidades de Naciones Unidas ha dejado descubrir que es posible ver los datos privados de más de 100.000 empleados del organismo internacional.
Las personas encargadas de realizar este estudio: Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle estuvieron investigando y finalmente consiguieron encontrar multiples endpoints hasta que dieron con el «indicado». Este exponía credenciales de Git.
¿Cómo encontraron estás vulnerabilidades?
Cuando emprendieron la búsqueda de este tipo de debilidades con lo primero que se toparon fue el subdominio expuesto de la Organización Internacional del Trabajo, el organismo de Naciones Unidas especializado en los asuntos relativos al trabajo y las relaciones laborales.
Una vez llegado a ese punto, se pudo acceder a las credenciales de Git, las cuales les dejaron conseguir una base de datos MySQL y una plataforma de gestión de encuestas.
Ese fue el punto de partida y una vez llegado ahí, siguieron tirando del hilo y consiguieron el subdominio del Programa de las Naciones Unidas para el Medio Ambiente.
«En última instancia, una vez que descubrimos las credenciales de GitHub, pudimos descargar un montón de proyectos privados de GitHub protegidos por contraseña y dentro de los proyectos encontramos múltiples conjuntos de credenciales de bases de datos y aplicaciones para el entorno de producción del PNUMA«, explicó Jackson en su web.
