导语:联合国在使用Trello,Jira和Google Docs时,由于配置上的失误,致使相关网站和应用的密码、内部文档以及技术细节意外泄露。

联合国在使用Trello(一个热门的项目管理服务网站),Jira(一个事务跟踪app)和Google Docs(一套在线办公软件)时,由于配置上的失误,致使相关网站和应用的密码、内部文档以及技术细节意外泄露。

这个失误让这些敏感材料几乎暴露在任何人的面前,而不仅仅是拥有访问权限的特定用户。受影响的数据包括:联合国文件服务器的证书、联合国语言学校的视频会议系统,以及联合国人道主义事务协调办公室的网络开发环境。安全研究员Kushagra Pathak发现了此项意外泄漏事件,并于一个月前通知了联合国。截止目前,大部分被暴露的资料似乎已经被撤销了。

Pathak表示,他是在Google上搜索找到了这些内部资料。搜索结果中有公共Trello页面,还有指向公共Google Docs和Jira页面的链接。

Trello是由“看板”和“卡片”组成的,一个看板上,会有许多卡片,每个卡片代表了一个任务,看板可以设为公共的或私人的。在找到由联合国运营的一个公共Trello看板之后,Pathak通过看板的关联性功能又找到了其他的联合国公共看板,其中一个Trello看板包含了到Jira的链接,Jira上有更多敏感信息。Pathak还发现了放在Google Docs和Google Drive上的文档的链接,这些文档的设置方式让其可供任何人通过网址访问,甚至其中一些文档还是加密文件。

Pathak是寻找公共Trello看板上私密信息的专家。今年早些时候,他在50个未受保护的看板上发现了包括密码和安全计划在内的一系列私密数据,这些数据来自英国政府和加拿大政府。而在此之前,他也在Trello上发现过其他机构的大量敏感数据,包括一家“知名的共享乘车公司”。一些公司已经习惯使用公开可见的Trello看板内部共享密码,以进入他们的网站、数据库、电子邮件、社交媒体和信用卡帐户。

Pathak的研究突出了某些组织机构在线处理工作时,密码和其他机密信息会有很高的泄露风险。以下是联合国使用Google搜索时无意间透露的一些敏感信息:

· 一个宣传联合国“和平与安全”项目的社交媒体团队公布了一份证书,这份证书可用于访问联合国远程文件存取或FTP服务器,也可以访问整合促进联合国维和人员国际日的Trello看板。目前尚不清楚服务器上有哪些信息,Pathak表示当前无法连接上服务器。

· 位于纽约联合国总部的语言和交流项目组,在所提供的课程中暴露了Google和Vimeo的帐户凭据,以及在公开的Trello看板上一款人力资源app的测试环境的凭据,同时还有一个Google Docs的电子表格,该表格也是连接到公共Trello看板,其中包括了2018年的详细会议日程、远程访问该计划的视频会议系统和会议密码。

· 在暴露于公众视野的看板中,其中一个看板是由人道主义应援(humanitarian response)和救援网(ReliefWeb)的开发者所使用的,这两个网站由联合国人道主义事务协调办公室运营,看板上有内部任务清单和会议记录等敏感信息。看板的一张公共卡上有一个标有“仅供内部使用”的PDF文件,其中包含了纽约市所有联合国建筑物的地图,而在另一张卡上的PDF文件里,是联合国人力资源部门工作人员的姓名和电话号码的通讯录。另外有一些卡包含了指向Google Docs内部文档的链接,而这些文档又含有Web开发项目相关的敏感信息,比如网址和测试网站早期功能的临时环境的密码。

· 联合国网站开发人员还使用了Jira的一个bug跟踪器,也是公开的,里面包含了网站开发和他们遇到问题的详细技术信息。

8月20日,Pathak向联合国信息安全小组报告了此次信息泄露事件;9月4日,联合国回复称将审核他的调查结果;9月12日,联合国又回复了一封电子邮件称他们无法重现报道中的漏洞,并询问他们是否可以要求Pathak提供确切Google搜索条件;同样在9月12日,The Intercept网站联系上了联合国。

在此期间,Pathak持续向联合国报告了许多敏感材料,总结来说是60个Trello看板,几个包含敏感信息的Google Drive和Google Docs链接,以及来自联合国公共Jira帐户的敏感信息。

在The Intercept取得联系后,联合国于9月13日开始撤销暴露的信息。联合国发言人Florencia Soto Nino-Martinez在一封电子邮件中说道,

Trello是联合国工作人员用来与合作伙伴共享内外部资料的多种工具之一。虽然在暴露的看板中,有些通讯材料并不涉及到机密,而有些看板的信息已经过时,但是,我们仍会审查列表中的所有看板,以确保密码或凭据不会通过此条途径泄露。我们非常重视安全性,并会提醒所有员工使用第三方平台分享内容的风险性,以及采取必要的预防措施确保没有敏感内容公开。

Trello看板、Google Drive和Google Docs上的文档都是默认为私人可见的,用户必须手动更改设置才能将信息公开给互联网上的其他人。Pathak此前曾建议Trello添加新的安全措施以阻止敏感数据的暴露,Trello的首席执行官当时表示,他们会努力确保公共看板是用户有意创建的,在确认用户的意图后才能将看板公之于众。此外,可见性设置会持续显示在每个看板的顶部。

Pathak说,

人们经常将公司的敏感数据公之于众,因为它更方便:他们只需通过分享看板的URL就可以与团队成员分享看板的详细信息,而无需将他们添加到看板。很多人会觉得将团队成员添加到看板很麻烦,但实际上却远比他们想象的容易得多。

源链接

Hacking more

...