Cơ sở dữ liệu chứa thông tin nhạy cảm từ Quỹ Tin cậy của Liên Hợp Quốc để Chấm dứt Bạo lực Chống Phụ nữ đã bị tiết lộ trên internet, với hơn 115.000 tệp liên quan đến các tổ chức đối tác hoặc nhận tiền từ UN Women. Các tài liệu bao gồm thông tin nhân sự và hợp đồng đến các thư và thậm chí là kiểm toán tài chính chi tiết về các tổ chức làm việc với cộng đồng dễ bị tổn thương trên khắp thế giới, bao gồm cả các nước dưới chế độ đàn áp.
Nhà nghiên cứu an ninh Jeremiah Fowler phát hiện cơ sở dữ liệu này, không có bảo vệ mật khẩu hoặc kiểm soát truy cập, và đã thông báo về việc này cho Liên Hợp Quốc, sau đó đã bảo vệ cơ sở dữ liệu. Các sự cố như vậy không phải là hiếm và nhiều nhà nghiên cứu thường xuyên phát hiện và tiết lộ những ví dụ lỗi để giúp tổ chức sửa chữa sai sót trong quản lý dữ liệu. Nhưng Fowler nhấn mạnh sự phổ biến này là lý do tại sao việc tiếp tục nâng cao nhận thức về mối đe doạ của những cấu hình sai sót là quan trọng.
“Chúng đang làm công việc tuyệt vời và giúp đỡ con người thực sự trên thế giới, nhưng phần quan trọng về an ninh mạng vẫn quan trọng,” Fowler nói với WIRED. “Tôi đã tìm thấy nhiều dữ liệu trước đây, bao gồm từ tất cả các cơ quan chính phủ, nhưng những tổ chức này đang giúp đỡ những người đang ở nguy cơ chỉ vì họ là ai, ở đâu họ ở.”
Một người phát ngôn của UN Women cho biết tổ chức đánh giá cao sự hợp tác từ những nhà nghiên cứu an ninh mạng và kết hợp bất kỳ phát hiện ngoại tuyến nào với dữ liệu theo dõi và giám sát của chính mình.
“Dựa vào quy trình phản ứng vụ việc của chúng tôi, các biện pháp kiểm soát đã được đưa ra nhanh chóng và các hành động điều tra đang được thực hiện,” người phát ngôn nói về cơ sở dữ liệu mà Fowler phát hiện. “Chúng tôi đang tiến hành đánh giá cách thông báo với những người có thể bị ảnh hưởng để họ nhận biết và cảnh báo cũng như học hỏi từ những bài học để ngăn chặn những sự cố tương tự trong tương lai.”
Dữ liệu có thể tiết lộ thông tin của người dân ở nhiều cách. Ở mức tổ chức, một số kiểm toán tài chính bao gồm thông tin tài khoản ngân hàng, nhưng rộng hơn, các thông tin tiết lộ cung cấp chi tiết cụ thể về nguồn tài trợ của mỗi tổ chức và cách tổ chức này lập ngân sách. Thông tin cũng bao gồm sự phân tích chi phí vận hành và chi tiết về nhân viên có thể được sử dụng để vẽ ra mạng lưới liên kết giữa các nhóm xã hội dân sự trong một quốc gia hoặc khu vực. Thông tin như vậy cũng dễ bị lạm dụng trong các vụ lừa đảo vì Liên Hợp Quốc là một tổ chức đáng tin cậy, và dữ liệu bị tiết lộ này sẽ cung cấp chi tiết về hoạt động nội bộ và có thể được sử dụng làm mẫu thư cho các kẻ xâm phạm tạo ra các thông cáo giả mạo có vẻ chính thức như đến từ Liên Hợp Quốc.
#LiênHợpQuốc #BảoVệDữLiệu #AnNinhMạng #UNWomen #TinTậyLiênHợpQuốc #ChấmDứtBạoLựcChốngPhụNữ
Nguồn: https://www.wired.com/story/un-women-database-exposure/
A database containing sensitive, sometimes personal information from the United Nations Trust Fund to End Violence Against Women was openly accessible on the internet, revealing more than 115,000 files related to organizations that partner with or receive funding from UN Women. The documents range from staffing information and contracts to letters and even detailed financial audits about organizations working with vulnerable communities around the world, including under repressive regimes.
Security researcher Jeremiah Fowler discovered the database, which was not password protected or otherwise access controlled, and disclosed the finding to the UN, which secured the database. Such incidents are not uncommon, and many researchers regularly find and disclose examples of exposures to help organizations correct data management mistakes. But Fowler emphasizes that this ubiquity is exactly why it is important to continue to raise awareness about the threat of such misconfigurations. The UN Women database is a prime example of a small error that could create additional risk for women, children, and LGBTQ people living in hostile situations worldwide.
“They’re doing great work and helping real people on the ground, but the cybersecurity aspect is still critical,” Fowler tells WIRED. “I’ve found lots of data before, including from all sorts of government agencies, but these organizations are helping people who are at risk just for being who they are, where they are.”
A spokesperson for UN Women tells WIRED in a statement that the organization appreciates collaboration from cybersecurity researchers and combines any outside findings with its own telemetry and monitoring.
“As per our incident response procedure, containment measures were rapidly put in place and investigative actions are being taken,” the spokesperson said of the database Fowler discovered. “We are in the process of assessing how to communicate with the potential affected persons so that they are aware and alert as well as incorporating the lessons learned to prevent similar incidents in the future.”
The data could expose people in multiple ways. At the organizational level, some of the financial audits include bank account information, but more broadly, the disclosures provide granular detail on where each organization gets its funding and how it budgets. The information also includes breakdowns of operating costs, and details about employees that could be used to map the interconnections between civil society groups in a country or region. Such information is also ripe for abuse in scams since the UN is such a trusted organization, and the exposed data would provide details on internal operations and potentially serve as templates for malicious actors to create legitimate-looking communications that purport to come from the UN.
[ad_2]
