联合国求职者的信息疑似泄露

来自联合国的应用程序中的披露漏洞向求职者公开访问简历，尽管收到关于这些问题的私人报告，但该组织未能解决此漏洞。

渗透测试公司Seekurity的安全研究员Mohamed Baset在联合国的一个WordPress网站上发现了路径泄露和信息泄露错误，自2016年以来，该网站提供了对工作申请的自由访问。他声称已经上传了数千份文件。

巴斯特注意到，寻求联合国职位的求职者可以通过配置不当的网络应用程序发送简历。研究人员发现，这种疏忽打开了对目录索引的访问权限，该目录索引似乎是寻找工作的个人文档。

虽然解决这个问题很简单，但巴斯特说他在报告问题后没有得到预期的答案。

推卸责任

在8月6日发送初次报告后的一个月，有两条消息询问他的披露状况以及另一封宣布完全公开披露的电子邮件，巴塞特说他得到了答复。

根据研究人员的说法，“来自UN @ Security的人”说，这个漏洞并不属于联合国秘书处，而是属于开发计划署[ 联合国开发计划署 ]。“9月5日。

今天，在向infosec@un.org进行负责任的披露后48天，Baset决定向公众发布详细信息。

“已发现的漏洞已被负责任地报告给联合国以及其他已发现的问题（此处未提及），包括有关如何重现问题的技术细节，”研究人员宣布。

Baset对WordPress网站所有者的建议是保持他们的最新版本以及任何插件; 他们应该从公共视图锁定任何敏感文件，并限制对/ wp-content / *下所有文件夹的访问。

Baset还发布了一段视频，解释了他如何发现保存敏感数据的目录的路径：

BleepingComputer向开发计划署发送了一封电子邮件，提醒他们注意敏感的求职者详情。我们还没有收到发布时间的答复。