ΟΗΕ: Περισσότερα από 100.000 έγγραφα με προσωπικά δεδομένα διέρρευσαν στο Διαδίκτυο
Κενό ασφαλείας εντοπίστηκε σε βάση δεδομένων που πιστεύεται ότι ανήκει στο Καταπιστευματικό Ταμείο του ΟΗΕ για τον τερματισμό της βίας κατά των γυναικών. Η βάση, που βρέθηκε εκτεθειμένη στο διαδίκτυο, περιέχει οικονομικές εκθέσεις, στοιχεία τραπεζικών λογαριασμών, μαρτυρίες θυμάτων και πολλά άλλα.
«Μέσω των εγγράφων ένας χάκερ θα μπορούσε να αποκτήσει απόρρητες πληροφορίες για την οργανωτική και οικονομική διάταξη του ΟΗΕ»
Συνολικά περιέχει 228 GB πληροφοριών και ανακαλύφθηκε από τον ερευνητή κυβερνοασφάλειας Τζερεμάια Φάουλερ. Δεν διέθετε καμία προστασία με κωδικό πρόσβασης, με τα 115.141 αρχεία να εμφανίζονται χωρίς κρυπτογράφηση και να είναι προσβάσιμα σε οποιονδήποτε διαθέτει σύνδεση στο ίντερνετ.
Αν και προς το παρόν δεν έχει επιβεβαιωθεί, η βάση δεδομένων περιείχε πληροφορίες που τη συνέδεαν με την Υπηρεσία του ΟΗΕ για τις Γυναίκες (UN Women) και το Καταπιστευματικό Ταμείο του ΟΗΕ για τον τερματισμό της βίας κατά των γυναικών.
Όπως αναφέρει το δημοσίευμα του techradar.com, σε αυτές τις πληροφορίες συμπεριλαμβάνονται επιστολές και έγγραφα που απευθύνονταν στον ΟΗΕ και είχαν σφραγιστεί με λογότυπα του Οργανισμού Ηνωμένων Εθνών και ειδική αναφορά στο UN Women. Επίσης υπάρχουν στοιχεία διαβατηρίων και αστυνομικών ταυτοτήτων καθώς και λεπτομερείς πληροφορίες σχετικά με το προσωπικό, όπως ονόματα, θέσεις εργασίας, μισθοί και φορολογικά δεδομένα.
«Ιστορίες θυμάτων με ευτυχές τέλος»
Ο Φάουλερ εντόπισε επίσης έγγραφα με την ένδειξη «ιστορίες θυμάτων με ευτυχές τέλος» ή «μαρτυρίες». Όπως αναφέρει ο ίδιος «μερικά από αυτά περιείχαν τα ονόματα και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου όσων βοηθήθηκαν από τα συγκεκριμένα προγράμματα, καθώς και λεπτομέρειες για τις προσωπικές τους εμπειρίες. Για παράδειγμα, η βάση περιείχε ένα γράμμα που είχε γράψει μια μαθήτρια, η οποία ήταν ένα από τα 276 άτομα που απήγαγε η Μπόκο Χαράμ το 2014».
Αυτά τα δεδομένα, εξηγεί στη συνέχεια, θα μπορούσαν να κλαπούν μέσω επιθέσεων phishing (ηλεκτρονικό ψάρεμα) χρησιμοποιώντας παραποιημένα έγγραφα. Θεωρητικά, ένας χάκερ θα μπορούσε επίσης να χρησιμοποιήσει τα έγγραφα για να αποκτήσει απόρρητες πληροφορίες σχετικά με την οργανωτική και οικονομική διάταξη του ΟΗΕ.
Η UN Women έχει δημοσιεύσει στον ιστότοπό της μια ειδοποίηση, η οποία δεν έχει ημερομηνία, αλλά η σελίδα χρονολογείται τουλάχιστον από τον Ιούλιο του 2022. Τον Ιούλιο του 2024 προστέθηκε ένας οδηγός για τη χρήση της πύλης επαλήθευσης προμηθειών Quantum. Όταν ο Φάουλερ ειδοποίησε την ομάδα Ασφάλειας Πληροφοριών του ΟΗΕ για το κενό ασφαλείας, ο οργανισμός τον παρέπεμψε στην UN WOMEN.