كشف الباحثون عن ثغرة أمنية يمكن استغلالها من قبل المهاجمين للوصول إلى أكثر من 100000 سجل موظف خاص في برنامج الأمم المتحدة للبيئة (UNEP).

وبحسب ما أفادت مجموعة الأبحاث الأمنية والقرصنة الأخلاقية Sakura Samurai، نشأ خرق البيانات من أدلة وملفات اعتماد Git مكشوفة، سمحت للباحثين باستنساخ مستودعات Git وجمع قدر كبير من المعلومات الشخصية (PII) المرتبطة بأكثر من 100 ألف موظف.

 

بيانات الأمم المتحدة تتعرض إلى الاختراق

بعد الاطلاع على برنامج الإفصاح عن نقاط الضعف التابع للأمم المتحدة وقاعة مشاهير InfoSec، شرع الباحثون الأمنيون في Sakura Samurai جاكسون هنري ونيك سهلر وجون جاكسون وأوبري كوتل في البحث عن أي عيوب أمنية تؤثر على أنظمة الأمم المتحدة.

وبذلك عثروا على أدلة Git مكشوفة وبيانات اعتماد Git مكشوفة على المجالات المرتبطة ببرنامج الأمم المتحدة للبيئة ومنظمة العمل الدولية التابعة للأمم المتحدة (ILO).

كما تمكن الباحثون من تفريغ محتويات ملفات Git هذه واستنساخ مستودعات كاملة من المجالات المرتبطة ilo.org و unep.org عبر استخدام git-dumper. وتتضمن الملفات قاعدة الكود المصدري لبرنامج الأمم المتحدة للبيئة، والبيانات الأخرى المرتبطة بالبرنامج وبمنظمة العمل الدولية التابعة للأمم المتحدة.

 

سرقة بيانات أكثر من 100 ألف موظف

عبر استخدام بيانات الاعتماد هذه، تمكن الباحثون من سرقة المعلومات الخاصة لأكثر من 100،000 موظف من أنظمة متعددة للأمم المتحدة.

إذ كشفت مجموعة البيانات المسروقة عن تاريخ سفر موظفي مؤسسة على سبيل المثال، والتي تحتوي على: اسم الموظف، ومجموعات الموظفين، ومبررات السفر، وتواريخ البدء والانتهاء، وحالة الموافقة، والوجهة، وطول الإقامة.

وبالمثل، فإن قواعد بيانات الأمم المتحدة الأخرى التي تم الوصول إليها من قبل الباحثين كجزء من تحليلهم كشفت عن البيانات الديموغرافية للموارد البشرية (الجنسية، والجنس، ودرجة الراتب) لآلاف الموظفين، وسجلات مصادر تمويل المشروع، وسجلات الموظفين المعممة، وتقارير تقييم التوظيف.

في المقابل، شكر سيف رضوان، رئيس حلول المؤسسات في البرنامج الخاص بالبيئة، الباحثين على تقريرهم عن نقاط الضعف. وأوضح أن “فريق DevOps قد اتخذ خطوات فورية لتصحيح الثغرة الأمنية وأن تقييم تأثير هذه الثغرة كان قيد التقدم”.