El programa de divulgación de vulnerabilidades de Naciones Unidas ha permitido descubrir que, en cuestión de horas, era posible acceder a los datos privados de más de 100.000 empleado del organismo internacional. El responsable del hallazgo ha sido el grupo de hackeo ético y ciberseguridad Sakura Samurai.

Jackson Henry, Nick Sahler, John Jackson y Aubrey Cottle, los integrantes de este grupo, trataron de buscar vulnerabilidades explorando múltiples endpoints hasta que dieron con uno vulnerable. Uno que exponía credenciales de Git.
Buscando vulnerabilidades para arreglarlas

Lo que primero encontraron fue un subdominio expuesto de la Organización Internacional del Trabajo, el organismo de Naciones Unidas especializado en los asuntos relativos al trabajo y las relaciones laborales. A partir de ahí, pudieron acceder a las credenciales de Git que les permitieron obtener, vía exfiltración mediante git-dumper, una base de datos MySQL y una plataforma de gestión de encuestas.

Tirando del hilo, y tras comprobar que lo anterior no contenía prácticamente nada de utilidad, finalmente hallaron un subdominio del Programa de las Naciones Unidas para el Medio Ambiente.

Tras tratar toda la información, identificaron más de 100.000 registros privados de empleados

En Genbeta

Estos investigadores dicen haber encontrado la mejor forma de crear contraseñas seguras gracias a la ciencia

"En última instancia, una vez que descubrimos las credenciales de GitHub, pudimos descargar un montón de proyectos privados de GitHub protegidos por contraseña y dentro de los proyectos encontramos …