База данных, содержащая конфиденциальную, иногда личную информацию Целевого фонда Организации Объединенных Наций по искоренению насилия в отношении женщин, была открыта в Интернете и содержала более 115 000 файлов, связанных с организациями, которые сотрудничают с ООН-Женщины или получают финансирование от нее. Документы варьируются от кадровой информации и контрактов до писем и даже подробных финансовых проверок организаций, работающих с уязвимыми сообществами по всему миру, в том числе в условиях репрессивных режимов.
Исследователь безопасности Джеремия Фаулер обнаружил базу данных, которая не была защищена паролем или иным образом не контролировался доступ, и сообщил об этом ООН, которая обеспечила безопасность базы данных. Подобные инциденты не являются редкостью, и многие исследователи регулярно находят и раскрывают примеры таких инцидентов, чтобы помочь организациям исправить ошибки управления данными. Но Фаулер подчеркивает, что именно эта повсеместность является причиной того, что важно продолжать повышать осведомленность об угрозе таких неправильных конфигураций. База данных Структуры «ООН-женщины» является ярким примером небольшой ошибки, которая может создать дополнительный риск для женщин, детей и представителей ЛГБТК, живущих во враждебных ситуациях по всему миру.
«Они проделывают огромную работу и помогают реальным людям на местах, но аспект кибербезопасности по-прежнему имеет решающее значение», — рассказал Фаулер WIRED. «Раньше я находил много данных, в том числе от самых разных правительственных учреждений, но эти организации помогают людям, которые находятся в группе риска, просто потому, что они такие, какие они есть и где они находятся».
Представитель структуры «ООН-женщины» сообщила WIRED в своем заявлении, что организация ценит сотрудничество с исследователями кибербезопасности и объединяет любые внешние результаты с собственной телеметрией и мониторингом.
«В соответствии с нашей процедурой реагирования на инциденты, меры сдерживания были быстро приняты и проводятся следственные действия», — сказал представитель базы данных, обнаруженной Фаулером. «Мы находимся в процессе оценки того, как общаться с потенциально пострадавшими лицами, чтобы они были осведомлены и бдительны, а также учитываем извлеченные уроки для предотвращения подобных инцидентов в будущем».
Данные могут разоблачить людей по-разному. На организационном уровне некоторые финансовые проверки включают информацию о банковских счетах, но в более широком смысле раскрытие информации предоставляет подробную информацию о том, откуда каждая организация получает финансирование и как она составляет бюджет. Информация также включает в себя разбивку операционных расходов и подробную информацию о сотрудниках, которые можно использовать для отображения взаимосвязей между группами гражданского общества в стране или регионе. Подобная информация также может стать объектом злоупотреблений в мошеннических целях, поскольку ООН является такой доверенной организацией, а раскрытые данные могут предоставить подробную информацию о внутренних операциях и потенциально послужить шаблонами для злоумышленников для создания законно выглядящих сообщений, которые якобы исходят от ООН.