聯合國配置失誤導致大量敏感數據泄露事件

導語：聯合國在使用Trello，Jira和Google Docs時，由于配置上的失誤，致使相關網站和應用的密碼、內部文檔以及技術細節意外泄露。

聯合國在使用Trello（一個熱門的項目管理服務網站），Jira（一個事務跟蹤app）和Google Docs（一套在線辦公軟件）時，由于配置上的失誤，致使相關網站和應用的密碼、內部文檔以及技術細節意外泄露。

這個失誤讓這些敏感材料幾乎暴露在任何人的面前，而不僅僅是擁有訪問權限的特定用戶。受影響的數據包括：聯合國文件服務器的證書、聯合國語言學校的視頻會議系統，以及聯合國人道主義事務協調辦公室的網絡開發環境。安全研究員Kushagra Pathak發現了此項意外泄漏事件，并于一個月前通知了聯合國。截止目前，大部分被暴露的資料似乎已經被撤銷了。

Pathak表示，他是在Google上搜索找到了這些內部資料。搜索結果中有公共Trello頁面，還有指向公共Google Docs和Jira頁面的鏈接。

Trello是由“看板”和“卡片”組成的，一個看板上，會有許多卡片，每個卡片代表了一個任務，看板可以設為公共的或私人的。在找到由聯合國運營的一個公共Trello看板之后，Pathak通過看板的關聯性功能又找到了其他的聯合國公共看板，其中一個Trello看板包含了到Jira的鏈接，Jira上有更多敏感信息。Pathak還發現了放在Google Docs和Google Drive上的文檔的鏈接，這些文檔的設置方式讓其可供任何人通過網址訪問，甚至其中一些文檔還是加密文件。

Pathak是尋找公共Trello看板上私密信息的專家。今年早些時候，他在50個未受保護的看板上發現了包括密碼和安全計劃在內的一系列私密數據，這些數據來自英國政府和加拿大政府。而在此之前，他也在Trello上發現過其他機構的大量敏感數據，包括一家“知名的共享乘車公司”。一些公司已經習慣使用公開可見的Trello看板內部共享密碼，以進入他們的網站、數據庫、電子郵件、社交媒體和信用卡帳戶。

Pathak的研究突出了某些組織機構在線處理工作時，密碼和其他機密信息會有很高的泄露風險。以下是聯合國使用Google搜索時無意間透露的一些敏感信息：

· 一個宣傳聯合國“和平與安全”項目的社交媒體團隊公布了一份證書，這份證書可用于訪問聯合國遠程文件存取或FTP服務器，也可以訪問整合促進聯合國維和人員國際日的Trello看板。目前尚不清楚服務器上有哪些信息，Pathak表示當前無法連接上服務器。

· 位于紐約聯合國總部的語言和交流項目組，在所提供的課程中暴露了Google和Vimeo的帳戶憑據，以及在公開的Trello看板上一款人力資源app的測試環境的憑據，同時還有一個Google Docs的電子表格，該表格也是連接到公共Trello看板，其中包括了2018年的詳細會議日程、遠程訪問該計劃的視頻會議系統和會議密碼。

· 在暴露于公眾視野的看板中，其中一個看板是由人道主義應援（humanitarian response）和救援網（ReliefWeb）的開發者所使用的，這兩個網站由聯合國人道主義事務協調辦公室運營，看板上有內部任務清單和會議記錄等敏感信息。看板的一張公共卡上有一個標有“僅供內部使用”的PDF文件，其中包含了紐約市所有聯合國建筑物的地圖，而在另一張卡上的PDF文件里，是聯合國人力資源部門工作人員的姓名和電話號碼的通訊錄。另外有一些卡包含了指向Google Docs內部文檔的鏈接，而這些文檔又含有Web開發項目相關的敏感信息，比如網址和測試網站早期功能的臨時環境的密碼。

· 聯合國網站開發人員還使用了Jira的一個bug跟蹤器，也是公開的，里面包含了網站開發和他們遇到問題的詳細技術信息。

8月20日，Pathak向聯合國信息安全小組報告了此次信息泄露事件；9月4日，聯合國回復稱將審核他的調查結果；9月12日，聯合國又回復了一封電子郵件稱他們無法重現報道中的漏洞，并詢問他們是否可以要求Pathak提供確切Google搜索條件；同樣在9月12日，The Intercept網站聯系上了聯合國。

在此期間，Pathak持續向聯合國報告了許多敏感材料，總結來說是60個Trello看板，幾個包含敏感信息的Google Drive和Google Docs鏈接，以及來自聯合國公共Jira帳戶的敏感信息。

在The Intercept取得聯系后，聯合國于9月13日開始撤銷暴露的信息。聯合國發言人Florencia Soto Nino-Martinez在一封電子郵件中說道，

Trello是聯合國工作人員用來與合作伙伴共享內外部資料的多種工具之一。雖然在暴露的看板中，有些通訊材料并不涉及到機密，而有些看板的信息已經過時，但是，我們仍會審查列表中的所有看板，以確保密碼或憑據不會通過此條途徑泄露。我們非常重視安全性，并會提醒所有員工使用第三方平臺分享內容的風險性，以及采取必要的預防措施確保沒有敏感內容公開。

Trello看板、Google Drive和Google Docs上的文檔都是默認為私人可見的，用戶必須手動更改設置才能將信息公開給互聯網上的其他人。Pathak此前曾建議Trello添加新的安全措施以阻止敏感數據的暴露，Trello的首席執行官當時表示，他們會努力確保公共看板是用戶有意創建的，在確認用戶的意圖后才能將看板公之于眾。此外，可見性設置會持續顯示在每個看板的頂部。

Pathak說，

人們經常將公司的敏感數據公之于眾，因為它更方便：他們只需通過分享看板的URL就可以與團隊成員分享看板的詳細信息，而無需將他們添加到看板。很多人會覺得將團隊成員添加到看板很麻煩，但實際上卻遠比他們想象的容易得多。

來源：嘶吼