Cyber criminali avrebbero potuto accedere a oltre 100.000 record di dipendenti del Programma delle Nazioni Unite per l'Ambiente (UNEP). A individuare la vulnerabilità è stato il gruppo di hacker etici Sakura Samurai, ma è
possibile che la falla sia già stata sfruttata dai criminali informatici.
Il problema era legato a directory e credenziali Git esposte, che permettevano ad eventuali attaccanti di
clonare il repository Git e raccogliere informazioni di identificazione del personale che erano associate, appunto, a oltre 100mila dipendenti.
I protagonisti di questa grande scoperta sono Jackson Henry, Nick Sahler, John Jacksone e Aubrey Cottle. Inizialmente si sono imbattuti nel programma di divulgazione delle vulnerabilità delle Nazioni Unite. Approfondendo la ricerche, Sahler e soci hanno scovato d
irectory Git esposte e file di credenziali Git con libero accesso, sui domini associati all'UNEP e all'Organizzazione internazionale del lavoro delle Nazioni Unite (OIL).
È stato possibile scaricare il contenuto di questi file Git e
clonare interi repository. Il contenuto della directory .git comprendeva file sensibili, come i file di configurazione di WordPress (wp-config.php) che esponevano le credenziali del database dell'amministratore.
Erano inoltre esposti diversi file PHP che contenevano
credenziali di database in chiaro associate ad altri sistemi online dell'UNEP e dell'OIL delle Nazioni Unite. L'aspetto più grave è che i file .git-credentials accessibili al pubblico hanno permesso ai ricercatori di mettere le mani sulla base del codice sorgente dell'UNEP.
Usando le informazioni di cui sono entrati in possesso, i ricercatori sono stati in grado di
esfiltrare le informazioni private dei dipendenti da più sistemi. Fra queste ci sono la cronologia dei viaggi, composta da ID dipendente, nomi, gruppi, motivazioni e date del viaggio, destinazione e altro. Per ciascun dipendente sono poi emersi i dati demografici come nazionalità, sesso, grado retributivo e altro.
La segnalazione di Sakura Samurai risale al 4 gennaio 2021. L'Office of Information and Communications Technology delle Nazioni Unite (OICT) ha ringraziato i ricercatori per il loro lavoro, e ha promesso di adottare immediate misure per chiudere la vulnerabilità, oltre ad avviare tempestivamente una valutazione d'impatto.
La cattiva notizia è che probabilmente
i cyber criminali hanno già avuto accesso ai dati. Come confermano le
fonti, la vulnerabilità è stata chiusa in meno di una settimana e chi di dovere ha emesso una nota per informare le potenziali vittime dell'accaduto.
Il problema è che non è la prima volta che i sistemi delle Nazioni Unite subiscono un data breach. Nel 2019 si è verificato un attacco informatico che ha gravemente compromesso le reti e le banche dati, mentre nel 2020 è stata sfruttata una falla in Share Point per fare breccia nei sistemi delle Nazioni Unite. Pare evidente la necessità di un sistema di detection e remediation più efficiente.