聯合國外洩10萬筆員工資料

一群自稱為Sakura Samurai的資安研究人員，因為看到聯合國提供了漏洞揭露專案與名人榜，於是決定尋找聯合國的資安漏洞，很快就發現有個端點曝露了一些Git憑證，使得他們得以下載該Git儲存庫，進而發現大量的聯合國員工個資，估計有超過10萬筆員工個資外洩，此外，他們亦在聯合國的網站上發現許多公開的.git目錄，還可利用各種工具來汲取這些目錄的內容。

Sakura Samurai團隊在此一Git儲存庫中，找到了逾10萬筆聯合國員工出差資料，包括姓名及員工編號等；另有內含7,000筆員工的國籍統計資料，包括姓名、員工編號、國籍、性別、薪資等級；以及內含4,000筆記錄的專案與資金來源；內含283個專案的評估報告。

該團隊還取得了隸屬於國際勞工組織（ International Labour Organization，ILO）的SQL資料庫與調查管理平臺的控制權，儘管其資料庫及調查管理平台似乎已被棄用，但資料庫與管理帳號可被接管依然可稱為重大漏洞。

Sakura Samurai亦於聯合國環境規畫署的子網域中找到了一些GitHub憑證，利用相關憑證可下載許多原本被密碼保護的GitHub專案。不過，研究人員並未繼續深究，而是決定直接通報聯合國。

ITPro引用資安專家Javvad Malik的看法指出，全球化的組織經常在不同的系統或平臺上存放資料，但要同時追蹤這些不同的系統並確保正確設定卻是個挑戰；漏洞管理公司Outpost24安全長Martin Jartelius則說，此一案例看起來都是屬於使用上的漏洞，而非軟體上的漏洞，倘若這些曝露在網路上的系統，存放了其他系統的憑證，那麼將著實令人擔憂。