一群自稱為Sakura Samurai的安全研究人員,因為看到聯合國提供了漏洞披露項目與名人榜,於是決定尋找聯合國的安全漏洞,很快就發現有個端點暴露了一些Git憑證,使得他們得以下載該Git存儲庫,進而發現大量的聯合國員工個人信息,估計有超過10萬名員工的個人信息外洩,此外,他們也在聯合國的網站上發現許多公開的.git目錄,還可利用各種工具來汲取這些目錄的內容。
Sakura Samurai團隊在該Git存儲庫中,找到了超過10萬名聯合國員工的出差資料,包括姓名及員工編號等;另有內置7,000名員工的國籍統計資料,包括姓名、員工編號、國籍、性別、薪資等級;以及內置4,000筆記錄的項目與資金來源;內置283個項目的評估報告。
該團隊還取得了隸屬於國際勞工組織(International Labour Organization,ILO)的SQL資料庫與調查管理平臺的控制權,儘管其資料庫及調查管理平臺似乎已被棄用,但資料庫與管理帳號可被接管依然可稱為重大漏洞。
Sakura Samurai也於聯合國環境規劃局的子域名中找到了一些GitHub憑證,利用相關憑證可下載許多原本被密碼保護的GitHub項目。
研究人員並未繼續深究再找下去還會發現些什麼,而是決定直接通報聯合國。
ITPro引用安全專家Javvad Malik的看法指出,全球化的組織經常在不同的系統或平臺上存放資料,但要同時關注這些不同的系統並確保正確設置卻是個挑戰;漏洞管理公司Outpost24首席安全官Martin Jartelius則說,該案例看起來都是屬於使用上的漏洞,而非軟體上的漏洞,倘若這些暴露在網絡上的系統,存放了其它系統的憑證,那麼著實令人擔憂。