Signaler un Problème de Cybersécurité

Programme responsable de signalement des failles de l'OIM

Afin d'améliorer la protection de ses systèmes et actifs liés aux technologies de l'information et de la communication (TIC), l'OIM encourage le public à contribuer à ses efforts en signalant les failles de ses systèmes et actifs accessibles au public et les problèmes de cybersécurité.

Ce qu'il faut signaler à l'OIM

Le public est invité à signaler les problèmes et incidents de cybersécurité, et les détails des failles associées aux systèmes de TIC de l'OIM accessibles au public, y compris les sites web.

Informations sur le signalement des failles

Les points suivants doivent être pris en compte lors du signalement des failles et des problèmes et incidents de cybersécurité à l'OIM :

La faille et/ou le problème ou incident de cybersécurité ne doit pas déjà avoir été divulgué publiquement.
La faille et/ou le problème ou incident de cybersécurité doit être signalé à l'OIM le plus rapidement possible après sa découverte.
Le déclarant doit préserver le caractère confidentiel des conclusions de la faille pendant au moins 90 jours après la date à laquelle la faille, le problème ou l’incident de cybersécurité a été signalé à l'OIM ou jusqu'à ce que la faille ait été divulguée publiquement sur ce site web.
La gravité d'une faille découverte est évaluée par l'OIM à sa seule discrétion.
Le nom et les coordonnées du déclarant peuvent être divulgués au(x) fournisseur(s) de technologie concerné(s), sauf demande contraire du déclarant. L'OIM se réserve le droit d'accepter ou de rejeter tout signalement de faille de sécurité ou de problème ou incident de cybersécurité à sa discrétion.

Si vous pensez avoir découvert une faille ou un problème et que vous souhaitez le signaler, nous vous demandons de nous transmettre une description détaillée du problème, y compris les mesures que nous pouvons prendre pour reproduire le problème et/ou une preuve de concept :

Les conclusions, y compris les coordonnées, doivent être signalés en utilisant ce formulaire.

Il convient de communiquer à l'OIM autant d'informations que possible sur la découverte afin de permettre à l'organisation de reproduire et de vérifier la faille, le problème ou l'incident et de mettre en œuvre les mesures correctives appropriées.

Une fois que vous avez soumis un signalement à l'OIM, veuillez accorder à l'équipe de sécurité de l'information un délai raisonnable pour répondre à votre signalement et corriger le problème.

Si de plus amples informations sont requises concernant un signalement, l'OIM peut contacter le déclarant ; il est donc important de fournir des coordonnées valides, notamment une adresse e-mail et/ou un numéro de téléphone.

Dès réception du signalement, l'OIM vérifiera l'existence de la faille, notifiera les parties concernées et mettra en œuvre des actions pour atténuer la faille.

Une fois la faille résolue, le déclarant recevra un accusé de réception, sauf s'il souhaite rester anonyme, et sera répertorié (à sa propre discrétion) sur cette page avec une brève description de la faille signalée. En signalant des failles à l'OIM, le déclarant accepte que ce signalement soit fait à titre gracieux et sans attente de compensation financière ou autre. Le déclarant affirme également que ni lui ni aucune entité qu'il représente n'est complice de violations des droits de l'homme, ne tolère le travail forcé ou obligatoire ou n'utilise le travail des enfants, n'est impliqué dans la vente ou la fabrication de mines antipersonnel ou de leurs composants, ou ne répond pas aux buts et principes des Nations Unies.

« Hall of Fame » de la sécurité de l'information de l'OIM

L'OIM est reconnaissante envers les personnes et organisations suivantes qui ont aidé l'Organisation à améliorer la sécurité de ses systèmes d'information, de ses données et de ses ressources de TIC en signalant des problèmes de sécurité et en découvrant des failles.

Déclarant	Problème de cybersécurité	Date
YILIYASI AIMAIER	Divulgation d'informations sensibles	25 octobre 2024
Moamel Shakeer	Scripts intersites	25 octobre 2024
Gurudatt Choudhary	Scripts intersites	25 octobre 2024
AKHIL C.D.	Injection d'en-tête	25 octobre 2024
AKHIL C.D.	Divulgation d'informations sensibles	25 octobre 2024
Vimal M	L'accès non autorisé	8 août 2024
Rajkumar Shanmugam	L'accès non autorisé	2 août 2024
David Padilla	scripts intersites (XSS)	4 mars 2024
Tejas Mane	L'accès non autorisé	15 février 2024
Hussain Saadi	Divulgation d'information	15 février 2024
Florian Wahl	Divulgation d'information	15 février 2024
Abbas Hamzayev	Divulgation d'information	14 janvier 2024
Abbas Hamzayev	secuestro de clics	14 janvier 2024
Ali Valiyev	Divulgation d'information	14 janvier 2024

2023

Déclarant	Problème de cybersécurité	Date
Salah Alnbahani	secuencias de comandos entre sitios (XSS)	27 diciembre 2023
Yousif Abbas	Injection HTML	29 novembre 2023
Bader Majed Almutairi	Injection HTML	16 novembre 2023
Hassan Ali Al-abdullah	Injection HTML	16 novembre 2023
Aditya singh	Divulgation d'informations sensibles	16 novembre 2023
Yaqoub Alsarraf	Scripts intersites	30 octobre 2023
Ahliman	Injection SQL	30 octobre 2023
Shaik Nasreen Fathima	Version obsolète	30 octobre 2023
Shaik Nasreen Fathima	Divulgation d'information	30 octobre 2023
Kartik Garg	Détournement de clics	30 octobre 2023
Ehab Alsharkawy	Divulgation d'information	30 octobre 2023
Ehab Alsharkawy	Version obsolète	30 octobre 2023
Phyo WaThone Win	Mécanisme de déclenchement des e-mails	30 octobre 2023
Navreet	Divulgation d'information	30 octobre 2023
Sahil More	Divulgation de la version du serveur	30 octobre 2023
Navreet	Scripts intersites	30 octobre 2023
Navreet	Scripts intersites	19 octobre 2023
Magashwarahan A	Divulgation d'informations sensibles	19 octobre 2023
Ehab Alsharkawy	Divulgation d'information	19 octobre 2023
Jignesh Vaniya	Version obsolète	16 octobre 2023
Jignesh Vaniya	Version PHP vulnérable	16 octobre 2023
HirokiSawada	Scripts intersites	16 octobre 2023
HirokiSawada	Scripts intersites	16 octobre 2023
Jignesh Vaniya	Exposition de données sensibles	5 octobre 2023
Jignesh Vaniya	Version OpenSSL	5 octobre 2023
Devansh Chauhan	Pollution prototype	5 octobre 2023
Kamil Rahuman	Détournement de clics	5 octobre 2023
Cosme Sousa	Injection HTML	5 octobre 2023
Miguel Segovia	scripts intersites	25 septembre 2023
Adrian Tirado Garcia	Énumération des utilisateurs	25 septembre 2023
Adrian Tirado Garcia	Page d'erreur détaillée visible	25 septembre 2023
Adrian Tirado Garcia	Liste du répertoire	25 septembre 2023
Abdullah Salah Alnbahani	Liste du répertoire	20 septembre 2023
Ehab Alsharkawy	Injection de paramètres SQL	20 septembre 2023
Hamoud Mohsen Al-Mutairi	Exposition de données sensibles	20 septembre 2023
Shubham Patil	Scripts intersites	20 septembre 2023
Shubham Patil	Exposition aux informations	20 septembre 2023
Aman Verma	Scripts intersites	20 septembre 2023
Shubham Bothra	scripts intersites	20 septembre 2023
Shubham Bothra	divulgation d'informations sur l'utilisateur	20 septembre 2023
Shubham Bothra	services Web exposés	19 septembre 2023
Shubham Bothra	divulgation d'informations	19 septembre 2023
Shubham Bothra	divulgation du code source	19 septembre 2023
Shubham Bothra	vulnérabilité de divulgation de fichiers	19 septembre 2023
Abdullah Salah Alnbahani	Scripts intersites	19 septembre 2023
Shiv Pratap Singh	Divulgation de fichiers sensibles	19 septembre 2023
Shiv Pratap Singh	Pollution des prototypes	19 septembre 2023
Shiv Pratap Singh	Exposition à des informations sensibles	19 septembre 2023
FAIZ KHAN	Détournement de clics	19 septembre 2023
Aryan Jaiswal	Exposition aux données sensibles	19 septembre 2023
Kamil Rahuman	Sécurité stricte du transport HTTP	29 août 2023
Floris van Trier	Fuite d'informations privées	29 août 2023
Floris van Trier	htaccess public	29 août 2023
Floris van Trier	Bibliothèque js obsolète	29 août 2023
Ehab Alsharkawy	divulgation des informations php	29 août 2023
Rock Pratap Singh	scripts intersites (XSS)	29 août 2023
Rock Pratap Singh	Divulgation d'information	24 août 2023
Milan	détournement de clic	1 août 2023
Jaser Deli	Exécution de code à distance	31 juillet 2023
Fazil A M	Informations sensibles Exposition	14 Juillet 2023
Abhishrey Gupta	Clicjacking	14 Juillet 2023
Prince Gill Ellenabad	Falsificación de solicitud entre sitios (CSRF)	3 Julio 2023
Abhishrey Gupta	secuestro de clics	3 Julio 2023
ALLEN ENOSH UPPUTORI	Información sensible Exposición	3 Julio 2023
Prince Gill Ellenabad	Contrefaçon de requête intersite (CSRF)	3 Juillet 2023
Abhishrey Gupta	Clicjacking	3 Juillet 2023
ALLEN ENOSH UPPUTORI	Informations sensibles Exposition	3 Juillet 2023
Abhith Damodaran	Exposition aux informations sensibles	14 juin 2023
Jaser Deli	Script intersite	14 juin 2023
Ngô Thái An	divulgation du code source	14 juin 2023
Ngô Thái An	Exposition aux informations sensibles	14 juin 2023
Pushpraj Patil	Script intersite réfléchi (XSS)	18 Mai 2023
Yassine Akrachli	Fuite d'informations PHP	10 Mai 2023
Herry(mahetagaurang22)	Fuga de información de CPanel	10 Mai 2023
Ammar Mu'tashim	XSS non authentifié (CISCO)	15 Avril 2023
Ahmad Atef Abdou	XSS non authentifié (CISCO)	15 Avril 2023
Scott Weston (@WebbinRoot)	Vulnérabilité d'énumération Wordpress	15 Avril 2023
Scott Weston (@WebbinRoot)	XSS non authentifié (CISCO)	15 Avril 2023
Bharat(mrnoob)	Exposition aux informations sensibles (domaine)	23 Mars 2023
Sumeet Baa	Suppression de fichiers arbitraires non authentifiés ("Path Traversal")	23 Mars 2023
Fazil A M	Exposition aux informations sensibles	15 février 2023
Solanki Ajay (@i_am_xroot)	Script intersite (XSS)	13 février 2023
Abdelrahman Ibrahim Farg	Prise de contrôle de sous-domaine vulnérable	10 février 2023
Fazil A M	Injection d'en-tête d'hôte	17 janvier 2023
Omar Bark	Injection d'en-tête d'hôte	17 janvier 2023
Sasi kumar	Injection d'en-tête d'hôte	17 janvier 2023
Durvesh Kolhe	Clicjacking	4 janvier 2023
Nguyen Hoang Quoc An	Liste du répertoire	4 janvier 2023
Nguyen Khanh Thuan	Mauvaise configuration de la sécurité	4 janvier 2023
Nguyen Phu Hung	Redirection ouverte	4 janvier 2023
xveysel10 (Bug Hunter)	Reprise de sous-domaine	4 janvier 2023
Nguyen Khanh Thuan	Script intersite (XSS)	4 janvier 2023

2022

Déclarant	Problème de cybersécurité	Date
Chetan	Liste du répertoire	12 Décembre 2022
NILESH AGARWAL	Problèmes de limite de mot de passe	24 Novembre 2022
xveysel10	Sous-domaine expiré	24 Novembre 2022
Selva MuthuKumaran	Vulnérabilité de détournement de clic	24 Novembre 2022
Ayansh Sinha (CyberDad)	Clicjacking	15 novembre 2022
Ramlal	Clicjacking	15 novembre 2022
Janhavi Sonatkar	Informations sensibles Exposition	15 novembre 2022
Smriti chandravanshi	Clicjacking	15 novembre 2022
Ramlal	Problèmes de configuration de Joomla	15 novembre 2022
Shivani Bhavsar	Clicjacking	15 novembre 2022
Chetan	Clicjacking	11 novembre 2022
Rajdip Dey Sarkar	Clicjacking	11 novembre 2022
G Bharath kalyan	Problème de limite de mot de passe	1 novembre 2022
Vijay Vilas Sutar	Clicjacking	28 octobre 2022
Sugumaran J	Connexion CSRF - Défaut d'authentification de connexion	13 octobre 2022
Karan Rathod	Requête HTTP non sécurisée, réponses	1 Octobre 2022
Harendra Yadav	Cloudflare contourne	1 Octobre 2022
Hrishikesh Sathe	Énumération des utilisateurs Drupal	23 septembre 2022
Parag Bagul	contrefaçon de demande côté serveur	23 septembre 2022
Parag Bagul	Fuite de fichier .git du code source	23 septembre 2022
Satyam Singh	Vulnérabilité IDOR	23 septembre 2022
Satyam Singh	XSS stocké via le téléchargement de fichiers	23 septembre 2022
Deepak Dhaka	Vulnérabilité de restriction du référentiel GIT	29 Août 2022
Opinder Singh	Contrefaçon de requête côté serveur	29 Août 2022
Opinder Singh	Pas de limite de taux sur la fonction de connexion	29 Août 2022
xveysel10 (Bug Hunter)	Liste des répertoires	29 Août 2022
Pavan Saxena	Pas de limite de taux sur la fonction de connexion	8 Août 2022
Vishnu Das	Liste des répertoires	8 Août 2022
Milan jain	Liste des répertoires	8 Août 2022
Rahul Sirvi	Violation des principes de conception sécurisée	3 Août 2022
Nikhil Rane	Clickjacking	3 Août 2022
Harsh Bhanushali	Script intersite (XSS)	1 août 2022
Vinit Lakra	XSS stocké via le téléchargement de fichiers	1 Août 2022
Vinit Lakra	Pas de limite de taux sur la fonction de connexion	25 juillet 2022
Vinit Lakra	Vulnérabilités d'analyse de port	25 juillet 2022
Yash Kushwah	pollution prototype	21 juillet 2022
Krishna Agarwal	Échecs d'authentification	14 juillet 2022
Krishna Agarwal	Vulnérabilité WordPress	14 juillet 2022
Ethiqal_Sam	Vulnérabilité d'exposition de l'information	13 juillet 2022
Biswajeet Ray	Vulnérabilité d'injection de texte (usurpation de contenu)	04 juillet 2022
xveysel10 (Bug Hunter)	Mauvaise configuration du serveur	29 junio 2022
xveysel10 (Bug Hunter)	Site Web expiré	24 June 2022
xveysel10 (Bug Hunter)	Service non disponible - Erreur avec le sous-domaine DNS	20 juin 2022
Ammar "Em" Mu'tashim	Vulnérabilité Cross-site scripting (XSS)	15 juin 2022
Salusgard	Spring Boot Actuator exposé	13 juin 2022
xveysel10 (Bug Hunter)	Service indisponible - Échec DNS	9 juin 2022
xveysel10 (Bug Hunter)	Certificat de sécurité expiré	9 juin 2022
xveysel10 (Bug Hunter)	Erreur HTTP - Échec du chargement	9 juin 2022
Ilkin Javadov	Contournement de l'authentification	23 mai 2022
Justakazh	Divulgation d'informations PHPinfo	17 mai 2022
Veysel (Bug Hunter)	Erreur avec le sous-domaine DNS	4 mai 2022
Francesco Carlucci (OpenCIRT)	Vulnérabilité de contrôle d'accès qui pourrait exposer des données sensibles	4 avril 2022
Toby Davenport	Vulnérabilité Cross-Site Scripting (XSS)	31 mars 2022
Toby Davenport	Vulnérabilité Cross-Site Scripting (XSS)	29 mars 2022
Nayeem Islam	Vulnérabilité XML-RPC	07 mars 2022
Fabian Mucke	Informations d'identification de la base de données WordPress divulguées dans le fichier PHPInfo.	18 février 2022
Hydd3n	Vulnérabilité WordPress	10 janvier 2022
Infoziant Security	Vulnérabilités multiples de WordPress	17 janvier 2022

2021

Déclarant	Problème de cybersécurité	Date
Guillaume Criloux	Le site web de l'OIM présente un défaut de conception et des images inappropriées sont téléchargées.	23 décembre 2021
Saeed Jaber - Abugosh	Mots de passe d’utilisateur détectés dans le Dark Web	20 octobre 2021
Gaurang Maheta	Faille OpenSSH signalée	22 juillet 2021
Gaurang Maheta	Faille SMB-v1 détectée	1er juillet 2021
Gaurang Maheta	Faille XML-RPC signalée	13 juin 2021

À propos

Structure

Ce que nous faisons

Partenariats

Points forts

Travailler avec nous

Engagez-vous

Signaler un problème de cybersécurité

CENTRES ADMINISTRATIFS ET BUREAUX

Réponse en Afghanistan 2021
Réponse du Soudan
Youth
Gestion des frontières
Campagnes
Gestion des camps
Enfance
COVID-19
Lutte contre la traite
Lutter contre la xénophobie
Réponse à la crise
-Sauver des vies et répondre aux besoins humanitaires
-Renforcer la preparation et reduire les risques de catatrophe
-Repondre aux facteurs et impacts a long-terme des crises
Données et recherche
Centres de détention
DTM
Environnement et changement climatique
Événements et journées internationales
Égalité entre les sexes
Pacte mondial pour la migration
Centre global d'analyse des données migratoires
Santé
Déplacement interne
Coopération internationale et partenariats
International Migration Review Forum
Fonds de l’OIM pour le développement
Migration de Travail
Moyens de subsistance
Migration et Programme à l'horizon 2030
Gestion de la migration
Migrants en situation vulnérable / Droits des migrants
Migrants disparus
Politique
Réduire les inégalités mondiales
Retour et réintégration
Cohésion sociale
Somalia Drought Response
Technologie et innovation
Ukraine Response 2022
Réseau des Nations Unies sur les migrations