由於聯合國配置失誤導致大量敏感資料洩露事件
聯合國在使用Trello(一個熱門的專案管理服務網站),Jira(一個事務跟蹤app)和Google Docs(一套線上辦公軟體)時,由於配置上的失誤,致使相關網站和應用的密碼、內部文件以及技術細節意外洩露。
這個失誤讓這些敏感材料幾乎暴露在任何人的面前,而不僅僅是擁有訪問許可權的特定使用者。受影響的資料包括:聯合國檔案伺服器的證書、聯合國語言學校的視訊會議系統,以及聯合國人道主義事務協調辦公室的網路開發環境。安全研究員Kushagra Pathak發現了此項意外洩漏事件,並於一個月前通知了聯合國。截止目前,大部分被暴露的資料似乎已經被撤銷了。
Pathak表示,他是在Google上搜索找到了這些內部資料。搜尋結果中有公共Trello頁面,還有指向公共Google Docs和Jira頁面的連結。
Trello是由“看板”和“卡片”組成的,一個看板上,會有許多卡片,每個卡片代表了一個任務,看板可以設為公共的或私人的。在找到由聯合國運營的一個公共Trello看板之後,Pathak通過看板的關聯性功能又找到了其他的聯合國公共看板,其中一個Trello看板包含了到Jira的連結,Jira上有更多敏感資訊。Pathak還發現了放在Google Docs和Google Drive上的文件的連結,這些文件的設定方式讓其可供任何人通過網址訪問,甚至其中一些文件還是加密檔案。
Pathak是尋找公共Trello看板上私密資訊的專家。今年早些時候,他在50個未受保護的看板上發現了包括密碼和安全計劃在內的一系列私密資料,這些資料來自英國政府和加拿大政府。而在此之前,他也在Trello上發現過其他機構的大量敏感資料,包括一家“知名的共享乘車公司”。一些公司已經習慣使用公開可見的Trello看板內部共享密碼,以進入他們的網站、資料庫、電子郵件、社交媒體和信用卡帳戶。
Pathak的研究突出了某些組織機構線上處理工作時,密碼和其他機密資訊會有很高的洩露風險。以下是聯合國使用Google搜尋時無意間透露的一些敏感資訊:
·一個宣傳聯合國“和平與安全”專案的社交媒體團隊公佈了一份證書,這份證書可用於訪問聯合國遠端檔案存取或FTP伺服器,也可以訪問整合促進聯合國維和人員國際日的Trello看板。目前尚不清楚伺服器上有哪些資訊,Pathak表示當前無法連線上伺服器。
· 位於紐約聯合國總部的語言和交流專案組,在所提供的課程中暴露了Google和Vimeo的帳戶憑據,以及在公開的Trello看板上一款人力資源app的測試環境的憑據,同時還有一個Google Docs的電子表格,該表格也是連線到公共Trello看板,其中包括了2018年的詳細會議日程、遠端訪問該計劃的視訊會議系統和會議密碼。
· 在暴露於公眾視野的看板中,其中一個看板是由人道主義應援(humanitarian response)和救援網(ReliefWeb)的開發者所使用的,這兩個網站由聯合國人道主義事務協調辦公室運營,看板上有內部任務清單和會議記錄等敏感資訊。看板的一張公共卡上有一個標有“僅供內部使用”的PDF檔案,其中包含了紐約市所有聯合國建築物的地圖,而在另一張卡上的PDF檔案裡,是聯合國人力資源部門工作人員的姓名和電話號碼的通訊錄。另外有一些卡包含了指向Google Docs內部文件的連結,而這些文件又含有Web開發專案相關的敏感資訊,比如網址和測試網站早期功能的臨時環境的密碼。
· 聯合國網站開發人員還使用了Jira的一個bug跟蹤器,也是公開的,裡面包含了網站開發和他們遇到問題的詳細技術資訊。
8月20日,Pathak向聯合國資訊保安小組報告了此次資訊洩露事件;9月4日,聯合國回覆稱將稽核他的調查結果;9月12日,聯合國又回覆了一封電子郵件稱他們無法重現報道中的漏洞,並詢問他們是否可以要求Pathak提供確切Google搜尋條件;同樣在9月12日,The Intercept網站聯絡上了聯合國。
在此期間,Pathak持續向聯合國報告了許多敏感材料,總結來說是60個Trello看板,幾個包含敏感資訊的Google Drive和Google Docs連結,以及來自聯合國公共Jira帳戶的敏感資訊。
在The Intercept取得聯絡後,聯合國於9月13日開始撤銷暴露的資訊。聯合國發言人Florencia Soto Nino-Martinez在一封電子郵件中說道,
Trello是聯合國工作人員用來與合作伙伴共享內外部資料的多種工具之一。雖然在暴露的看板中,有些通訊材料並不涉及到機密,而有些看板的資訊已經過時,但是,我們仍會審查列表中的所有看板,以確保密碼或憑據不會通過此條途徑洩露。我們非常重視安全性,並會提醒所有員工使用第三方平臺分享內容的風險性,以及採取必要的預防措施確保沒有敏感內容公開。
Trello看板、Google Drive和Google Docs上的文件都是預設為私人可見的,使用者必須手動更改設定才能將資訊公開給網際網路上的其他人。Pathak此前曾建議Trello新增新的安全措施以阻止敏感資料的暴露,Trello的執行長當時表示,他們會努力確保公共看板是使用者有意建立的,在確認使用者的意圖後才能將看板公之於眾。此外,可見性設定會持續顯示在每個看板的頂部。
Pathak說,
人們經常將公司的敏感資料公之於眾,因為它更方便:他們只需通過分享看板的URL就可以與團隊成員分享看板的詳細資訊,而無需將他們新增到看板。很多人會覺得將團隊成員新增到看板很麻煩,但實際上卻遠比他們想象的容易得多。