Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Falla nel sito delle Nazioni Unite. Migliaia di file accessibili a chiunque
Il “buco” è stato segnalato ma gli uffici si sono rimpallati la responsabilità per settimane. E intanto tutte le informazioni personali sono rimaste esposte.
Sono soprattutto curricula, ma anche documenti personali che gli uffici delle Nazioni Unite richiedono a chi si candida per un posto nell’organizzazione internazionale. Tutti raccolti in una directory a cui chiunque poteva accedere.
A trovarli è stato Mohamed Baset, un ricercatore di Seekurity che ha passato al setaccio il sito delle Nazioni Unite nel corso di un controllo di routine.
Il sito, come spiega Baset nel suo report, gira su WordPress e utilizza un’applicazione per consentire l’upload della documentazione per chi vuole trovare lavoro nelle Nazioni Unite.
Peccato che il sistema consenta il collegamento anche tramite semplice HTTP, aprendo la strada a eventuali attacchi Man in The Middle. Ma questo non è l’unico problema.
La directory in cui vengono memorizzati i documenti poteva infatti essere consultata da chiunque e il materiale scaricato con estrema semplicità.
Nonostante ripetute segnalazioni, infatti, sembrava che dalle parti delle Nazioni Unite nessuno avesse intenzione di correggere il problema. Baset, addirittura, ha ricevuto un’email in cui gli è stato detto che la competenza non è del Segretariato delle Nazioni Unite, ma dell’UNDP (Programma delle Nazioni Unite per lo sviluppo).
Un classico scaricabarile burocratico, fatto da qualcuno che però non sa come funzionano le procedure di responsible disclosure nel mondo della sicurezza informatica. Dopo aver atteso 48 giorni (il bug può essere corretto molto facilmente) Baset ha reso pubblico il problema.
Ora la directory sembra non essere più raggiungibile, ma è probabile che tutto il materiale al suo interno sia già stato scaricato da chiunque abbia saputo del bug.
Condividi l'articolo
Firefox Monitor ti avvisa se un tuo account è stato violato
Tante novità per la sicurezza da Microsoft nel suo Ignite 2018
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
