Consiguen tener acceso a más de 100.000 registros de empleados de la ONU

18 enero, 2021
8 Compartido 1,891 Visualizaciones

El programa de divulgación de vulnerabilidades de Naciones Unidas ha dejado descubrir que es posible ver los datos privados de más de 100.000 empleados del organismo internacional.

Las personas encargadas de realizar este estudio: Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle estuvieron investigando y finalmente consiguieron encontrar multiples endpoints hasta que dieron con el «indicado». Este exponía credenciales de Git.

¿Cómo encontraron estás vulnerabilidades?

Cuando emprendieron la búsqueda de este tipo de debilidades con lo primero que se toparon fue el subdominio expuesto de la Organización Internacional del Trabajo, el organismo de Naciones Unidas especializado en los asuntos relativos al trabajo y las relaciones laborales.

Una vez llegado a ese punto, se pudo acceder a las credenciales de Git, las cuales les dejaron conseguir una base de datos MySQL y una plataforma de gestión de encuestas.

Ese fue el punto de partida y una vez llegado ahí, siguieron tirando del hilo y consiguieron el subdominio del Programa de las Naciones Unidas para el Medio Ambiente.

«En última instancia, una vez que descubrimos las credenciales de GitHub, pudimos descargar un montón de proyectos privados de GitHub protegidos por contraseña y dentro de los proyectos encontramos múltiples conjuntos de credenciales de bases de datos y aplicaciones para el entorno de producción del PNUMA«, explicó Jackson en su web.

 

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El sofisticado ataque que a tu empresa no le gustaría conocer: Business Email Compromise
Cyber Expertos
231 compartido4,794 visualizaciones
Cyber Expertos
231 compartido4,794 visualizaciones

El sofisticado ataque que a tu empresa no le gustaría conocer: Business Email Compromise

Samuel Rodríguez - 12 octubre, 2018

El Business Email Compromise (BEC de ahora en adelante) y el fraude al CEO son conceptos que, por desgracia, cada…

Los ciberataques a móviles, una tendencia creciente
Actualidad
8 compartido1,669 visualizaciones
Actualidad
8 compartido1,669 visualizaciones

Los ciberataques a móviles, una tendencia creciente

Alicia Burrueco - 24 agosto, 2020

●        La compañía de ciberseguridad S21sec ha identificado que la mayoría de ciberataques dirigidos a ‘smartphones’ provienen de Rusia y China…

La fabricación segura y responsable de los juguetes conectados, uno de los objetivos de la guía ‘Ciberseguridad en Smart Toys’
Actualidad
7 compartido1,323 visualizaciones
Actualidad
7 compartido1,323 visualizaciones

La fabricación segura y responsable de los juguetes conectados, uno de los objetivos de la guía ‘Ciberseguridad en Smart Toys’

Alicia Burrueco - 23 diciembre, 2019

INCIBE y la Asociación Española de Fabricantes de Juguetes lanzan esta iniciativa para implementar buenas prácticas en ciberseguridad en la…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.