Inicio / Opinion / El sitio WordPress de las Naciones Unidas expone miles de currículums

El sitio WordPress de las Naciones Unidas expone miles de currículums

Las vulnerabilidades de divulgación en una aplicación web de las Naciones Unidas dejan abiertas las CV de acceso público de los solicitantes de empleo y la organización no pudo tapar la fuga a pesar de recibir un informe privado sobre los problemas.

El investigador de seguridad Mohamed Baset de la compañía de pruebas de penetración Seekurity encontró una divulgación de ruta y un error de divulgación de información en uno de los sitios web de WordPress de la ONU, que brinda acceso sin restricciones a solicitudes de empleo desde 2016. Afirma que se han cargado miles de documentos.

Baset notó que los solicitantes de empleo que buscan un puesto en la ONU pueden enviar sus hojas de vida a través de una aplicación web configurada incorrectamente. El investigador descubrió que este descuido dejaba abierto el acceso a un índice de directorio de lo que parecen ser documentos de personas que buscan un trabajo.

Aunque solucionar el problema es simple, Baset dice que no recibió la respuesta esperada después de informar sobre el problema.

Lanzando la responsabilidad

Un mes después de enviar su informe inicial el 6 de agosto, dos mensajes pidiendo el estado de su divulgación y otro correo electrónico anunciando la divulgación pública completa, Baset dice que recibió una respuesta.

Según el investigador, “alguien de UN @ Security” dijo que la vulnerabilidad “no pertenecía a la Secretaría de las Naciones Unidas y corresponde al PNUD [ Programa de las Naciones Unidas para el Desarrollo ]”. Esto fue el 5 de septiembre.

Hoy, 48 días después de hacer una divulgación responsable a infosec@un.org, Baset decidió revelar los detalles al público.

“Las vulnerabilidades descubiertas se han informado de manera responsable a las Naciones Unidas junto con otros problemas descubiertos (no mencionados aquí), incluidos los detalles técnicos sobre cómo reproducir los problemas”, anunció el investigador .

La recomendación de Baset a los propietarios de sitios web de WordPress es que mantengan su instalación actualizada, así como de cualquier complemento; deben bloquear cualquier archivo confidencial de la vista pública y restringir el acceso a todas las carpetas en / wp-content / * .

Baset también publicó un video que explica cómo descubrió la ruta al directorio que contiene los datos confidenciales:

Fuente: bleepingcomputer

Vea También

El pirata informático de Silicon Valley gasta millones de criptomonedas utilizando el intercambio de SIM

Robert Ross, uno de sus víctimas, dijo que pudo ver cómo su teléfono perdía la …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.