Ένα σοβαρό κενό ασφαλείας ανακαλύφθηκε σε μια βάση δεδομένων που φαίνεται να ανήκει στο Καταπιστευματικό Ταμείο του ΟΗΕ για την καταπολέμηση της βίας κατά των γυναικών. Η βάση δεδομένων, η οποία βρέθηκε εκτεθειμένη στο διαδίκτυο, περιέχει ευαίσθητες πληροφορίες, όπως οικονομικές εκθέσεις, στοιχεία τραπεζικών λογαριασμών και μαρτυρίες θυμάτων.
«Ένας χάκερ θα μπορούσε να αποκτήσει απόρρητες πληροφορίες σχετικά με την οργανωτική και οικονομική διάρθρωση του ΟΗΕ μέσω αυτών των εγγράφων»
Η βάση δεδομένων περιέχει συνολικά 228 GB πληροφοριών και ανακαλύφθηκε από τον ερευνητή κυβερνοασφάλειας Τζερεμάια Φάουλερ. Δεν είχε καμία προστασία με κωδικό πρόσβασης, με 115.141 αρχεία να είναι προσβάσιμα χωρίς κρυπτογράφηση σε οποιονδήποτε έχει σύνδεση στο διαδίκτυο.
Αν και προς το παρόν δεν έχει επιβεβαιωθεί, υπάρχουν ενδείξεις που συνδέουν τη βάση δεδομένων με την Υπηρεσία του ΟΗΕ για τις Γυναίκες (UN Women) και το Καταπιστευματικό Ταμείο του ΟΗΕ για την καταπολέμηση της βίας κατά των γυναικών.
Σύμφωνα με το δημοσίευμα του techradar.com, οι πληροφορίες περιλαμβάνουν επιστολές και έγγραφα που απευθύνονταν στον ΟΗΕ, φέρνοντας λογότυπα του Οργανισμού Ηνωμένων Εθνών και ειδική αναφορά στο UN Women. Υπάρχουν επίσης στοιχεία διαβατηρίων και αστυνομικών ταυτοτήτων, καθώς και λεπτομέρειες σχετικά με το προσωπικό, όπως ονόματα, θέσεις εργασίας, μισθοί και φορολογικά δεδομένα.
«Ιστορίες θυμάτων με ευτυχές τέλος»
Ο Φάουλερ εντόπισε επίσης έγγραφα με την ένδειξη «ιστορίες θυμάτων με ευτυχές τέλος» ή «μαρτυρίες». Όπως δήλωσε, «μερικά από αυτά περιείχαν ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου ατόμων που έχουν λάβει βοήθεια από τα συγκεκριμένα προγράμματα, καθώς και λεπτομέρειες για τις προσωπικές τους εμπειρίες. Ένα παράδειγμα είναι ένα γράμμα που έγραψε μια μαθήτρια, μία από τις 276 γυναίκες που απήχθησαν από τη Μπόκο Χαράμ το 2014».
Αυτές οι ευαίσθητες πληροφορίες θα μπορούσαν να κλαπούν μέσω επιθέσεων phishing, χρησιμοποιώντας παραποιημένα έγγραφα. Θεωρητικά, ένας χάκερ θα μπορούσε να εκμεταλλευτεί αυτά τα έγγραφα για να αποκτήσει απόρρητες πληροφορίες σχετικά με την οργανωτική και οικονομική δομή του ΟΗΕ.
Στον ιστότοπο της UN Women υπάρχει μια ειδοποίηση σχετικά με το θέμα, η οποία δεν έχει ημερομηνία, αλλά είναι τουλάχιστον από τον Ιούλιο του 2022. Τον Ιούλιο του 2024 προστέθηκε ένας οδηγός για τη χρήση της πύλης επαλήθευσης προμηθειών Quantum. Όταν ο Φάουλερ ενημέρωσε την ομάδα Ασφάλειας Πληροφοριών του ΟΗΕ για το κενό ασφαλείας, ο οργανισμός τον παρέπεμψε στην UN Women.
