ការបំពាន​លើ​ទិន្នន័យ​របស់​អង្គការសហប្រជាជាតិ​បាន​លាតត្រដាង​កំណត់ត្រា​បុគ្គលិក​របស់ UNEP ច្រើនជាង ១០០ពាន់​នាក់

0

ភាព​ងាយ​រងគ្រោះ​បណ្តាល​ឲ្យ​អ្នក​វាយប្រហារ​អាចធ្វើ​កា​រ​កេងប្រវ័ញ្ច និង​ទាញយក​កំណត់ត្រា​របស់​បុគ្គលិក​ឯកជន​ច្រើនជាង​ចំនួន១០០, ០០០នាក់​នៅក្នុង​កម្មវិធីរ​បស់​អង្គការសហប្រជាជាតិ (UNEP) ។

ការបំពាន​លើ​ទិន្នន័យ​មាន​ប្រភព​ចេញពី​ការបំពាន​ក្នុង Git directories  និង​ព័ត៌មាន​អត្តសញ្ញាណ (credentials) ដោយ​អ្នកស្រាវជ្រាវ​ត្រូវ​ធ្វើការ​ក្លូន(clone)លើ directories របស់ Git និង​ប្រមូល​ព័ត៌មាន​មួយចំនួន​ដែល​អាច​កំណត់​អត្តសញ្ញាណ​ផ្ទាល់ខ្លួន(PII)របស់​ន​យោ​ជិ​ក UNEP ។ តាមរយៈ​កម្មវិធី​បង្ហា​ញ​ពី​ភាព​ងាយ​រងគ្រោះ​របស់​អង្គការសហប្រជាជាតិ និង​ក្រុម​អ្នកវិទ្យាសាស្ត្រ InfoSec Hall of Fame នាំ​ឲ្យ​អ្នកស្រាវជ្រាវ Jackson Henry ,   Nick SahlerJohn Jackson , and  Aubrey Cottle  របស់​ក្រុម Sakura Samurai   បាន​ចេញមុខ​ដើម្បី​ធ្វើការ​ស្វែងរក​គុណវិបត្តិ​សន្តិសុខ​ទាំង​ដែល​បង្ក​ផលប៉ះពាល់​ដល់​ប្រព័ន្ធ​របស់​អង្គការសហប្រជាជាតិ UN systems ។

មាតិកា .git (.git directory) មាន​ឯកសារសំខាន់ៗដូចជា​ឯកសារ WordPress (wp-config.php)ដោយ​វា​អាច​នាំ​ឲ្យ​មានការ​បង្ហាញ​អត្តសញ្ញាណ​ទិន្នន័យ​របស់​អ្នកគ្រប់គ្រង។ ដូចគ្នានេះដែរ ឯកសារ PHP ផ្សេងគ្នា​ត្រូវបាន​លាតត្រដាង​នៅក្នុង​ផ្នែក​មួយ​នៃ​ការបំពាន​ទិន្នន័យ​នេះ​ដែលមាន​ព័ត៌មាន​បញ្ជាក់​ពី​អត្តសញ្ញាណ​មូលដ្ឋាន​ទិន្នន័យ​ទាក់ទង​នឹង​ប្រព័ន្ធ​អន​ឡាញ​ផ្សេងទៀត​របស់ UNEP និង UN ILO។ លើសពីនេះ​ឯកសារ​ដែល​អាច​ចូល​បានជា​សាធារណៈ.git-credentials អាចឱ្យ​អ្នកស្រាវជ្រាវ​ទទួលបាន​នូវ​មូលដ្ឋាន​ពី​ប្រភព​កូដ​របស់ UNEP ។

ចំណាត់ការ​ទៅលើ​បញ្ហា​នេះ

អ្នកស្រាវជ្រាវ​បាន​ចែករំលែក​អ៊ី​ម៉ែ​ល​ជា​បន្តបន្ទាប់​ជាមួយ​បណ្តាញសារព័ត៌មាន ដោយ​អះអាងថា ដំបូង​ឡើយ​ពួកគេ​បាន​រាយការណ៍​ពី​ភាព​ងាយ​រងគ្រោះ​ទៅកាន់​អង្គការសហប្រជាជាតិ​ដោយផ្ទាល់​នៅ​ថ្ងៃទី៤ ខែមករា ឆ្នាំ២០២។ការិយាល័យ​បច្ចេកវិទ្យា​ព័ត៌មាន និង​ទំនាក់ទំនង​របស់​អង្គការសហប្រជាជាតិ (OICT) បានទទួល​បាន​របាយ​ការណ៍​នោះ ប៉ុន្តែ​ពុំបាន​ដឹង​ពី​ភាព​ងាយ​រងគ្រោះ​ដែល​ពាក់ព័ន្ធ UNEP។

នៅ​ទីបំផុត​យោងតាម​អ៊ី​ម៉ែ​ល​ទាំងនេះ លោក Saiful Ridwan ប្រធាន​ផ្នែក​ដំណោះស្រាយ​សហគ្រាស​នៅ UNEP បាន​ថ្លែងអំណរគុណ​ដល់​ក្រុម​អ្នកស្រាវជ្រាវ​ចំពោះ​របាយ​ការណ៍ភាព​ងាយ​រងគ្រោះ​របស់​ពួកគេ​ដោយ​លោក​បញ្ជាក់ថា ក្រុម DevOps របស់លោក​បាន​ចាត់វិធានការភ្លាមៗដើម្បី​ដោះស្រាយ​ភាព​ងាយ​រងគ្រោះ​ហើយ​កំពុងធ្វើការ​វាយតម្លៃ​លើ​ផលប៉ះពាល់​នៃ​ភាព​ងាយ​រងគ្រោះ។

លើសពីនេះ​ទៀត នៅក្នុង​អ៊ីមែល​ដែល​បណ្តាញសារព័ត៌មាន​បានឃើញ​នោះ  UNEP បាន​បញ្ជាក់ថា សេចក្តីជូនដំណឹង​អំពី​ការបំពាន​លើ​ទិន្នន័យ​គឺ​កំពុងដំណើរការ ប៉ុន្តែ​ព័ត៌មាន​នោះ​មានការ​កែប្រែ​ដែល​ពួកគេ​មិនបាន​ធ្វើ​វា​នោះទេ។ ក្រុម​អ្នកស្រាវជ្រាវ​បាន​ប្រាប់ ភ្នាក់ងារ​ព័ត៌មាន​ថា អង្គការសហប្រជាជាតិ​បាន​ដោះស្រាយ​បញ្ហា​សន្តិសុខ​នេះ​យ៉ាង​លឿន​ក្នុង​រយៈពេល​តិចជាង​មួយ​សប្តាហ៍។ នេះ​មិនមែនជា​លើកទីមួយ​ទេ​ដែល​ប្រព័ន្ធ​របស់​អង្គការសហប្រជាជាតិរ​ង​ការបំពាន​លើ​ទិន្នន័យ។ បណ្តាញសារព័ត៌មាន​កំ​ពុង​រង់ចាំ​ការឆ្លើយតប​បន្ថែម​ពី​អង្គភាព UNEP៕

ប្រែ​សម្រួល៖ប៉ោក លក្ខិណា

ប្រភពព័ត៌មាន bleepingcomputer ចុះផ្សាយ​ថ្ងៃទី១១ ខែមករា ឆ្នាំ២០២១

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

អៀរឡង់ពិន័យក្រុមហ៊ុន Meta ២៦៤លានដុល្លារពីបទបើកចំហទិន្នន័យ Facebook ឆ្នាំ២០១៨

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

រដ្ឋ Rhode Island បញ្ជាក់ពីការបំពានទិន្នន័យ ក្រោយពីការវាយប្រហារមេរោគ Brain Cipher

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុនផលិតគ្រឿងបន្លាស់រថយន្ត LKQ ថ្លែងថាការវាយប្រហារសាយប័ររំខានអាជីវកម្មនៅប្រទេសកាណាដា

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត Lynx នៅពីក្រោយការវាយប្រហារសាយប័រក្រុមហ៊ុនផ្គត់ផ្គង់ថាមពល Electrica

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប្រតិបត្តិការ PowerOFF ចុះបង្ក្រាបផ្លេតហ្វម DDoS-for-Hire ចំនួន២៧

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

លោក Wyden ស្នើច្បាប់ការពារទូរគមនាគមន៍អាមេរិក បន្ទាប់ពីក្រុម Salt Typhoon ហេគ

LEAVE A REPLY

Please enter your comment!
Please enter your name here