联合国外泄10万名员工资料

一群自称为Sakura Samurai的资安研究人员，因为看到联合国提供了漏洞揭露专案与名人榜，于是决定寻找联合国的资安漏洞，很快就发现有个端点曝露了一些Git凭证，使得他们得以下载该Git储存库，进而发现大量的联合国员工个资，估计有超过10万名员工的个资外泄，此外，他们亦在联合国的网站上发现许多公开的.git目录，还可利用各种工具来汲取这些目录的内容。

Sakura Samurai团队在此一Git储存库中，找到了逾10万名联合国员工的出差资料，包括姓名及员工编号等；另有内含7,000名员工的国籍统计资料，包括姓名、员工编号、国籍、性别、薪资等级；以及内含4,000笔纪录的专案与资金来源；内含283个专案的评估报告。

该团队还取得了隶属于国际劳工组织（ International Labour Organization，ILO）的SQL数据库与调查管理平台的控制权，尽管其数据库及调查管理平台似乎已被弃用，但数据库与管理账号可被接管依然可称为重大漏洞。

Sakura Samurai亦于联合国环境规划署的子网域中找到了一些GitHub凭证，利用相关凭证可下载许多原本被密码保护的GitHub专案。

研究人员并未继续深究再找下去还会发现些什么，而是决定直接通报联合国。

ITPro引用资安专家Javvad Malik的看法指出，全球化的组织经常在不同的系统或平台上存放资料，但要同时追踪这些不同的系统并确保正确设定却是个挑战；漏洞管理公司Outpost24安全长Martin Jartelius则说，此一案例看起来都是属于使用上的漏洞，而非软件上的漏洞，倘若这些曝露在网络上的系统，存放了其它系统的凭证，那么着实令人担忧。