Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Falla nel sito delle Nazioni Unite. Migliaia di file accessibili a chiunque
Il “buco” è stato segnalato ma gli uffici si sono rimpallati la responsabilità per settimane. E intanto tutte le informazioni personali sono rimaste esposte.
Sono soprattutto curricula, ma anche documenti personali che gli uffici delle Nazioni Unite richiedono a chi si candida per un posto nell’organizzazione internazionale. Tutti raccolti in una directory a cui chiunque poteva accedere.
A trovarli è stato Mohamed Baset, un ricercatore di Seekurity che ha passato al setaccio il sito delle Nazioni Unite nel corso di un controllo di routine.
Il sito, come spiega Baset nel suo report, gira su WordPress e utilizza un’applicazione per consentire l’upload della documentazione per chi vuole trovare lavoro nelle Nazioni Unite.
Peccato che il sistema consenta il collegamento anche tramite semplice HTTP, aprendo la strada a eventuali attacchi Man in The Middle. Ma questo non è l’unico problema.
La directory in cui vengono memorizzati i documenti poteva infatti essere consultata da chiunque e il materiale scaricato con estrema semplicità.
Nonostante ripetute segnalazioni, infatti, sembrava che dalle parti delle Nazioni Unite nessuno avesse intenzione di correggere il problema. Baset, addirittura, ha ricevuto un’email in cui gli è stato detto che la competenza non è del Segretariato delle Nazioni Unite, ma dell’UNDP (Programma delle Nazioni Unite per lo sviluppo).
Un classico scaricabarile burocratico, fatto da qualcuno che però non sa come funzionano le procedure di responsible disclosure nel mondo della sicurezza informatica. Dopo aver atteso 48 giorni (il bug può essere corretto molto facilmente) Baset ha reso pubblico il problema.
Ora la directory sembra non essere più raggiungibile, ma è probabile che tutto il materiale al suo interno sia già stato scaricato da chiunque abbia saputo del bug.
Condividi l'articolo
Firefox Monitor ti avvisa se un tuo account è stato violato
Tante novità per la sicurezza da Microsoft nel suo Ignite 2018
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
