Verenigde Naties getroffen door groot datalek

Abonneer je gratis op Techzine!

De Verenigde Naties (VN) zijn getroffen door een groot datalek waarbij details van medewerkers openbaar zijn gemaakt. Dit ontdekten de ethische hackers van de security-onderzoeksgroep Sakura Samurai.

Een onderzoek van ethische hackers van de security-onderzoeksgroep Sakura Samurai heeft ontdekt dat de VN een datalek heeft gehad dat meer dan 100.000 persoonlijke gegevens van medewerkers treft. Het gaat hierbij om medewerkers van het UN Environmental Program (UNEP) en de VN-organisatie International Labor Organization.

De hackers kwamen het datalek op het spoor nadat zij hadden ontdekt dat de VN over een zogenoemd vulnerability disclosure programma beschikt. Hierop hebben zij verschillende VN-databases aan een onderzoek onderworpen en hierbij is het datalek vervolgens komen bovendrijven.

Details inbreuk

Meer concreet ontdekten zij dat databases van beide VN-organisaties Git directories en Git inlogbestanden open hadden staan. Met deze details konden de ethische hackers de inhoud van Git-bestanden en gekloonde repostories kopiëren met behulp van de tool git dumper.

De gekopieerde bestanden hadden onder meer informatie over reisgegevens van VN-personeel, zoals hun personeelsnummers, begin- en beëindigingsgegevens, toestemmingsstatus, bestemming en duur van het verblijf. Ook wist Sakura Samurai personeelsgegevens te verkrijgen die medewerkers kon identificeren, zoals gegevens over projectfinanciering, algemene medewerkersbestanden en evaluatiebestanden van medewerkers.

Erkenning VN

De VN heeft inmiddels het datalek erkend en heeft Sakura Samurai bedankt voor het attenderen op deze kwetsbaarheid van de interne databases. Het oplossen van dit lek zou voor de organisatie een grote uitdaging zijn geweest.

Sakura Samurai geeft aan dat het zeer waarschijnlijk is dat de data inmiddels wel ontvreemd is door kwaadaardige hackers en is gestolen voordat het datalek was ontdekt.