Les chercheurs en sécurité de Sakura Samurai ont identifié des informations d’identification GitHub exposées sur un sous-domaine du Programme des Nations Unies pour l’environnement (PNUE), ce qui leur a permis d’accéder à une mine de données, y compris plus de 100 000 dossiers d’employés.

Lors de leurs recherches sur les failles de sécurité des actifs dans le cadre du programme de divulgation des vulnérabilités des Nations Unies, les chercheurs de Sakura Samurai ont découvert un sous-domaine ilo.org qui exposait le contenu .git.

Cela leur a permis de prendre en charge une base de données SQL, ainsi que d’effectuer une prise de contrôle sur une plateforme de gestion d’enquêtes appartenant à l’Organisation internationale du travail. Cependant, bien qu’il s’agisse de vulnérabilités critiques, les deux ressources ont été abandonnées, contenant ainsi peu de données d’utilisation.

Cependant, un flou supplémentaire a conduit les chercheurs à un sous-domaine du PNUE qui a divulgué des informations d’identification GitHub, leur permettant ainsi d’accéder et de télécharger «de nombreux projets GitHub privés protégés par mot de passe».

Ces projets, dit Sakura Samurai, contenaient plusieurs bases de données, ainsi que des informations d’identification d’application pour l’environnement de production du PNUE. Au total, 7 paires d’informations d’identification ont été identifiées, offrant un accès non autorisé à davantage de bases de données.

Dans l’un d’eux, deux documents contenant plus de 102 000 dossiers de voyage d’employés ont été identifiés. Ces enregistrements comprenaient les noms, les numéros d’identification des employés, les groupes d’employés, la justification du voyage, les dates de début et de fin du voyage, le statut d’approbation, la durée du séjour et la destination.

Les chercheurs ont également trouvé deux documents contenant plus de 7000 enregistrements démographiques de nationalité RH: noms et groupes d’employés, numéros d’identification, nationalité et sexe de l’employé, grade de rémunération des employés, numéro d’identification de l’unité de travail de l’organisation et étiquettes de texte de l’unité.

Plus de 1 000 enregistrements d’employés généralisés ont été trouvés dans un autre document: numéros d’index, noms et courriels des employés et sous-domaines de travail des employés.

Un autre document a révélé plus de 4000 dossiers de projets et de sources de financement, y compris …