-
Signaler un problème de cybersécurité
Programme responsable de signalement des failles de l'OIM
Afin d'améliorer la protection de ses systèmes et actifs liés aux technologies de l'information et de la communication (TIC), l'OIM encourage le public à contribuer à ses efforts en signalant les failles de ses systèmes et actifs accessibles au public et les problèmes de cybersécurité.
Ce qu'il faut signaler à l'OIM
Le public est invité à signaler les problèmes et incidents de cybersécurité, et les détails des failles associées aux systèmes de TIC de l'OIM accessibles au public, y compris les sites web.
Informations sur le signalement des failles
Les points suivants doivent être pris en compte lors du signalement des failles et des problèmes et incidents de cybersécurité à l'OIM :
- La faille et/ou le problème ou incident de cybersécurité ne doit pas déjà avoir été divulgué publiquement.
- La faille et/ou le problème ou incident de cybersécurité doit être signalé à l'OIM le plus rapidement possible après sa découverte.
- Le déclarant doit préserver le caractère confidentiel des conclusions de la faille pendant au moins 90 jours après la date à laquelle la faille, le problème ou l’incident de cybersécurité a été signalé à l'OIM ou jusqu'à ce que la faille ait été divulguée publiquement sur ce site web.
- La gravité d'une faille découverte est évaluée par l'OIM à sa seule discrétion.
- Le nom et les coordonnées du déclarant peuvent être divulgués au(x) fournisseur(s) de technologie concerné(s), sauf demande contraire du déclarant. L'OIM se réserve le droit d'accepter ou de rejeter tout signalement de faille de sécurité ou de problème ou incident de cybersécurité à sa discrétion.
Si vous pensez avoir découvert une faille ou un problème et que vous souhaitez le signaler, nous vous demandons de nous transmettre une description détaillée du problème, y compris les mesures que nous pouvons prendre pour reproduire le problème et/ou une preuve de concept :
- Les conclusions, y compris les coordonnées, doivent être signalés en utilisant ce formulaire.
Il convient de communiquer à l'OIM autant d'informations que possible sur la découverte afin de permettre à l'organisation de reproduire et de vérifier la faille, le problème ou l'incident et de mettre en œuvre les mesures correctives appropriées.
Une fois que vous avez soumis un signalement à l'OIM, veuillez accorder à l'équipe de sécurité de l'information un délai raisonnable pour répondre à votre signalement et corriger le problème.
Si de plus amples informations sont requises concernant un signalement, l'OIM peut contacter le déclarant ; il est donc important de fournir des coordonnées valides, notamment une adresse e-mail et/ou un numéro de téléphone.
Dès réception du signalement, l'OIM vérifiera l'existence de la faille, notifiera les parties concernées et mettra en œuvre des actions pour atténuer la faille.
Une fois la faille résolue, le déclarant recevra un accusé de réception, sauf s'il souhaite rester anonyme, et sera répertorié (à sa propre discrétion) sur cette page avec une brève description de la faille signalée. En signalant des failles à l'OIM, le déclarant accepte que ce signalement soit fait à titre gracieux et sans attente de compensation financière ou autre. Le déclarant affirme également que ni lui ni aucune entité qu'il représente n'est complice de violations des droits de l'homme, ne tolère le travail forcé ou obligatoire ou n'utilise le travail des enfants, n'est impliqué dans la vente ou la fabrication de mines antipersonnel ou de leurs composants, ou ne répond pas aux buts et principes des Nations Unies.
« Hall of Fame » de la sécurité de l'information de l'OIM
L'OIM est reconnaissante envers les personnes et organisations suivantes qui ont aidé l'Organisation à améliorer la sécurité de ses systèmes d'information, de ses données et de ses ressources de TIC en signalant des problèmes de sécurité et en découvrant des failles.
|
Déclarant |
Problème de cybersécurité |
Date |
| Bader Majed Almutairi | Injection HTML | 16 novembre 2023 |
| Hassan Ali Al-abdullah | Injection HTML | 16 novembre 2023 |
| Aditya singh | Divulgation d'informations sensibles | 16 novembre 2023 |
| Yaqoub Alsarraf | Scripts intersites | 30 octobre 2023 |
| Ahliman | Injection SQL | 30 octobre 2023 |
| Shaik Nasreen Fathima | Version obsolète | 30 octobre 2023 |
| Shaik Nasreen Fathima | Divulgation d'information | 30 octobre 2023 |
| Kartik Garg | Détournement de clics | 30 octobre 2023 |
| Ehab Alsharkawy | Divulgation d'information | 30 octobre 2023 |
| Ehab Alsharkawy | Version obsolète | 30 octobre 2023 |
| Phyo WaThone Win | Mécanisme de déclenchement des e-mails | 30 octobre 2023 |
| Navreet | Divulgation d'information | 30 octobre 2023 |
| Sahil More | Divulgation de la version du serveur | 30 octobre 2023 |
| Navreet | Scripts intersites | 30 octobre 2023 |
| Navreet | Scripts intersites | 19 octobre 2023 |
| Magashwarahan A | Divulgation d'informations sensibles | 19 octobre 2023 |
| Ehab Alsharkawy | Divulgation d'information | 19 octobre 2023 |
| Jignesh Vaniya | Version obsolète | 16 octobre 2023 |
| Jignesh Vaniya | Version PHP vulnérable | 16 octobre 2023 |
| HirokiSawada | Scripts intersites | 16 octobre 2023 |
| HirokiSawada | Scripts intersites | 16 octobre 2023 |
| Jignesh Vaniya | Exposition de données sensibles | 5 octobre 2023 |
| Jignesh Vaniya | Version OpenSSL | 5 octobre 2023 |
| Devansh Chauhan | Pollution prototype | 5 octobre 2023 |
| Kamil Rahuman | Détournement de clics | 5 octobre 2023 |
| Cosme Sousa | Injection HTML | 5 octobre 2023 |
| Miguel Segovia | scripts intersites | 25 septembre 2023 |
| Adrian Tirado Garcia | Énumération des utilisateurs | 25 septembre 2023 |
| Adrian Tirado Garcia | Page d'erreur détaillée visible | 25 septembre 2023 |
| Adrian Tirado Garcia | Liste du répertoire | 25 septembre 2023 |
| Abdullah Salah Alnbahani | Liste du répertoire | 20 septembre 2023 |
| Ehab Alsharkawy | Injection de paramètres SQL | 20 septembre 2023 |
| Hamoud Mohsen Al-Mutairi | Exposition de données sensibles | 20 septembre 2023 |
| Shubham Patil | Scripts intersites | 20 septembre 2023 |
| Shubham Patil | Exposition aux informations | 20 septembre 2023 |
| Aman Verma | Scripts intersites | 20 septembre 2023 |
| Shubham Bothra | scripts intersites | 20 septembre 2023 |
| Shubham Bothra | divulgation d'informations sur l'utilisateur | 20 septembre 2023 |
| Shubham Bothra | services Web exposés | 19 septembre 2023 |
| Shubham Bothra | divulgation d'informations | 19 septembre 2023 |
| Shubham Bothra | divulgation du code source | 19 septembre 2023 |
| Shubham Bothra | vulnérabilité de divulgation de fichiers | 19 septembre 2023 |
| Abdullah Salah Alnbahani | Scripts intersites | 19 septembre 2023 |
| Shiv Pratap Singh | Divulgation de fichiers sensibles | 19 septembre 2023 |
| Shiv Pratap Singh | Pollution des prototypes | 19 septembre 2023 |
| Shiv Pratap Singh | Exposition à des informations sensibles | 19 septembre 2023 |
| FAIZ KHAN | Détournement de clics | 19 septembre 2023 |
| Aryan Jaiswal | Exposition aux données sensibles | 19 septembre 2023 |
| Kamil Rahuman | Sécurité stricte du transport HTTP | 29 août 2023 |
| Floris van Trier | Fuite d'informations privées | 29 août 2023 |
| Floris van Trier | htaccess public | 29 août 2023 |
| Floris van Trier | Bibliothèque js obsolète | 29 août 2023 |
| Ehab Alsharkawy | divulgation des informations php | 29 août 2023 |
| Rock Pratap Singh | scripts intersites (XSS) | 29 août 2023 |
| Rock Pratap Singh | Divulgation d'information | 24 août 2023 |
| Milan | détournement de clic | 1 août 2023 |
| Jaser Deli | Exécution de code à distance | 31 juillet 2023 |
| Fazil A M | Informations sensibles Exposition | 14 Juillet 2023 |
| Abhishrey Gupta | Clicjacking | 14 Juillet 2023 |
| Prince Gill Ellenabad | Falsificación de solicitud entre sitios (CSRF) | 3 Julio 2023 |
| Abhishrey Gupta | secuestro de clics | 3 Julio 2023 |
| ALLEN ENOSH UPPUTORI | Información sensible Exposición | 3 Julio 2023 |
| Prince Gill Ellenabad | Contrefaçon de requête intersite (CSRF) | 3 Juillet 2023 |
| Abhishrey Gupta | Clicjacking | 3 Juillet 2023 |
| ALLEN ENOSH UPPUTORI | Informations sensibles Exposition | 3 Juillet 2023 |
| Abhith Damodaran | Exposition aux informations sensibles | 14 juin 2023 |
| Jaser Deli | Script intersite | 14 juin 2023 |
| Ngô Thái An | divulgation du code source | 14 juin 2023 |
| Ngô Thái An | Exposition aux informations sensibles | 14 juin 2023 |
| Pushpraj Patil | Script intersite réfléchi (XSS) | 18 Mai 2023 |
| Yassine Akrachli | Fuite d'informations PHP | 10 Mai 2023 |
| Herry(mahetagaurang22) | Fuga de información de CPanel | 10 Mai 2023 |
| Ammar Mu'tashim | XSS non authentifié (CISCO) | 15 Avril 2023 |
| Ahmad Atef Abdou | XSS non authentifié (CISCO) | 15 Avril 2023 |
| Scott Weston (@WebbinRoot) | Vulnérabilité d'énumération Wordpress | 15 Avril 2023 |
| Scott Weston (@WebbinRoot) | XSS non authentifié (CISCO) | 15 Avril 2023 |
| Bharat(mrnoob) | Exposition aux informations sensibles (domaine) | 23 Mars 2023 |
| Sumeet Baa | Suppression de fichiers arbitraires non authentifiés ("Path Traversal") | 23 Mars 2023 |
| Fazil A M | Exposition aux informations sensibles | 15 février 2023 |
| Solanki Ajay (@i_am_xroot) | Script intersite (XSS) | 13 février 2023 |
| Abdelrahman Ibrahim Farg | Prise de contrôle de sous-domaine vulnérable | 10 février 2023 |
| Fazil A M | Injection d'en-tête d'hôte | 17 janvier 2023 |
| Omar Bark | Injection d'en-tête d'hôte | 17 janvier 2023 |
| Sasi kumar | Injection d'en-tête d'hôte | 17 janvier 2023 |
| Durvesh Kolhe | Clicjacking | 4 janvier 2023 |
| Nguyen Hoang Quoc An | Liste du répertoire | 4 janvier 2023 |
| Nguyen Khanh Thuan | Mauvaise configuration de la sécurité | 4 janvier 2023 |
| Nguyen Phu Hung | Redirection ouverte | 4 janvier 2023 |
| xveysel10 (Bug Hunter) | Reprise de sous-domaine | 4 janvier 2023 |
| Nguyen Khanh Thuan | Script intersite (XSS) | 4 janvier 2023 |
- 2022
-
Déclarant
Problème de cybersécurité
Date
Chetan Liste du répertoire 12 Décembre 2022 NILESH AGARWAL Problèmes de limite de mot de passe 24 Novembre 2022 xveysel10 Sous-domaine expiré 24 Novembre 2022 Selva MuthuKumaran Vulnérabilité de détournement de clic 24 Novembre 2022 Ayansh Sinha (CyberDad) Clicjacking 15 novembre 2022 Ramlal Clicjacking 15 novembre 2022 Janhavi Sonatkar Informations sensibles Exposition 15 novembre 2022 Smriti chandravanshi Clicjacking 15 novembre 2022 Ramlal Problèmes de configuration de Joomla 15 novembre 2022 Shivani Bhavsar Clicjacking 15 novembre 2022 Chetan Clicjacking 11 novembre 2022 Rajdip Dey Sarkar Clicjacking 11 novembre 2022 G Bharath kalyan Problème de limite de mot de passe 1 novembre 2022 Vijay Vilas Sutar Clicjacking 28 octobre 2022 Sugumaran J Connexion CSRF - Défaut d'authentification de connexion 13 octobre 2022 Karan Rathod Requête HTTP non sécurisée, réponses 1 Octobre 2022 Harendra Yadav Cloudflare contourne 1 Octobre 2022 Hrishikesh Sathe Énumération des utilisateurs Drupal 23 septembre 2022 Parag Bagul contrefaçon de demande côté serveur 23 septembre 2022 Parag Bagul Fuite de fichier .git du code source 23 septembre 2022 Satyam Singh Vulnérabilité IDOR 23 septembre 2022 Satyam Singh XSS stocké via le téléchargement de fichiers 23 septembre 2022 Deepak Dhaka Vulnérabilité de restriction du référentiel GIT 29 Août 2022 Opinder Singh Contrefaçon de requête côté serveur 29 Août 2022 Opinder Singh Pas de limite de taux sur la fonction de connexion 29 Août 2022 xveysel10 (Bug Hunter) Liste des répertoires 29 Août 2022 Pavan Saxena Pas de limite de taux sur la fonction de connexion 8 Août 2022 Vishnu Das Liste des répertoires 8 Août 2022 Milan jain Liste des répertoires 8 Août 2022 Rahul Sirvi Violation des principes de conception sécurisée 3 Août 2022 Nikhil Rane Clickjacking 3 Août 2022 Harsh Bhanushali Script intersite (XSS) 1 août 2022 Vinit Lakra XSS stocké via le téléchargement de fichiers 1 Août 2022 Vinit Lakra Pas de limite de taux sur la fonction de connexion 25 juillet 2022 Vinit Lakra Vulnérabilités d'analyse de port 25 juillet 2022 Yash Kushwah pollution prototype 21 juillet 2022 Krishna Agarwal Échecs d'authentification 14 juillet 2022 Krishna Agarwal Vulnérabilité WordPress 14 juillet 2022 Ethiqal_Sam Vulnérabilité d'exposition de l'information 13 juillet 2022 Biswajeet Ray Vulnérabilité d'injection de texte (usurpation de contenu) 04 juillet 2022 xveysel10 (Bug Hunter) Mauvaise configuration du serveur 29 junio 2022 xveysel10 (Bug Hunter) Site Web expiré 24 June 2022 xveysel10 (Bug Hunter) Service non disponible - Erreur avec le sous-domaine DNS 20 juin 2022 Ammar "Em" Mu'tashim Vulnérabilité Cross-site scripting (XSS) 15 juin 2022 Salusgard Spring Boot Actuator exposé 13 juin 2022 xveysel10 (Bug Hunter) Service indisponible - Échec DNS 9 juin 2022 xveysel10 (Bug Hunter) Certificat de sécurité expiré 9 juin 2022 xveysel10 (Bug Hunter) Erreur HTTP - Échec du chargement 9 juin 2022 Ilkin Javadov Contournement de l'authentification 23 mai 2022 Justakazh Divulgation d'informations PHPinfo 17 mai 2022 Veysel (Bug Hunter) Erreur avec le sous-domaine DNS 4 mai 2022 Francesco Carlucci (OpenCIRT) Vulnérabilité de contrôle d'accès qui pourrait exposer des données sensibles 4 avril 2022 Toby Davenport Vulnérabilité Cross-Site Scripting (XSS) 31 mars 2022 Toby Davenport Vulnérabilité Cross-Site Scripting (XSS) 29 mars 2022 Nayeem Islam Vulnérabilité XML-RPC 07 mars 2022 Fabian Mucke Informations d'identification de la base de données WordPress divulguées dans le fichier PHPInfo. 18 février 2022 Hydd3n Vulnérabilité WordPress 10 janvier 2022 Infoziant Security Vulnérabilités multiples de WordPress 17 janvier 2022 - 2021
-
Déclarant
Problème de cybersécurité
Date
Guillaume Criloux Le site web de l'OIM présente un défaut de conception et des images inappropriées sont téléchargées. 23 décembre 2021 Saeed Jaber - Abugosh Mots de passe d’utilisateur détectés dans le Dark Web 20 octobre 2021 Gaurang Maheta Faille OpenSSH signalée 22 juillet 2021 Gaurang Maheta
Faille SMB-v1 détectée
1er juillet 2021
Gaurang Maheta
Faille XML-RPC signalée
13 juin 2021