近日,安全研究员Jeremiah Fowler发现,联合国终止暴力侵害妇女信托基金的数据库在互联网上公开暴露,未设密码保护或访问控制,其中包含超过11.5万份敏感文件。该数据库涉及与联合国妇女署合作或接受其资助的全球组织的详细信息,这些组织遍布多个国家和地区,主要服务于弱势群体。

泄漏的文件包括人员信息、合同、信件,甚至详细的财务审计报告。安全专家警告,这类数据泄露不仅可能影响相关组织运作,还可能将处于高风险的妇女、儿童及LGBTQ群体暴露在更大的危险中。

数据泄露曝光“全球组织”

Fowler强调,数据库配置错误的情况并不少见,许多研究人员定期发现并报告这些问题,帮助相关组织修正数据管理中的漏洞。然而,联合国妇女署的数据库泄露格外引人关注,因为涉及的文件详细描述了与其合作的遍布全球的公益组织的运作情况,资金来源和预算分配、以及员工信息,可用于绘制一个国家或地区民间社会团体之间的人员关系网。这些信息可被用于敲诈勒索或针对相关人员的执法行动。

对于这一问题,联合国妇女署迅速作出反应。一位发言人表示,感谢来自网络安全研究人员的协作,并在内部结合外部发现,迅速采取了控制措施,修复了问题。发言人还指出,目前正在评估如何与可能受到影响的人群沟通,以确保他们保持警惕,并从此次事件中吸取教训,防止未来发生类似事件。

Fowler进一步指出:“数据库中涉及的项目预算高达数百万美元,一旦这些数据落入不法分子手中,或者进入暗网,诈骗者或政府就可能根据这些信息查找哪些组织在哪些地方活动,并进一步对相关人员和受助者进行打击。”

联合国屡次发生重大数据泄露事件

近年来,联合国发生了多起重大数据泄露事件,凸显了该全球性组织网络安全防御的脆弱性:

  • 2020年:联合国数据库泄露。在2020年,网络安全研究人员发现了联合国机构的多个数据库被公开暴露在互联网上,未受任何访问控制保护。泄露的数据涉及多个国家的人员,包括机密的项目文件、敏感的个人信息和财务记录。这起事件引发了外界对联合国数据保护机制的广泛质疑。

  • 2021年:联合国工作人员遭受网络攻击。2021年,联合国机构遭遇了一次严重的网络攻击,黑客通过钓鱼邮件入侵了内部系统,窃取了大量涉及员工的个人信息。根据安全公司发现的报告,这次攻击可能影响了多个关键部门,进一步暴露了该组织在应对高级网络威胁方面的不足。

  • 2022年:联合国开发计划署(UNDP)泄露数据。2022年,安全研究人员发现联合国开发计划署(UNDP)的大量敏感数据被公开存储在一个未受保护的数据库中。这些数据涉及多个国际援助项目,公开了敏感的财务信息和工作人员数据,可能对援助项目的安全构成严重威胁。

这些事件表明,尽管联合国在全球事务中发挥着至关重要的作用,但其网络安全防护能力仍然需要进一步加强。随着网络攻击的复杂性日益增加,尤其是涉及国家安全和人道主义工作的机构,确保数据安全已成为联合国及其各机构面临的一个关键挑战。

参考链接:

https://www.wired.com/story/un-women-database-exposure/

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。