2024年10月22日,网络安全研究员Jeremiah Fowler发现,联合国终止暴力信托基金数据库因配置错误导致数据泄露,暴露了超过228GB的敏感信息。
Fowler指出,这个没有密码保护、没有加密/明文的数据库包含财务报告和审计(包括银行账户信息)、员工文件、电子邮件地址、合同、证书、注册文件等等。该数据库总共包含115141个 .PDF、.xml、.jpg、.png或其他格式的文件,共计228GB。我看到的许多文件都标记为机密,不应该公开。一个单独的 .xls 文件包含1611个民间社会组织的列表,包括它们的内部联合国申请编号、它们是否有资格获得支持、它们的申请状态、它们是地方组织还是国家组织,以及有关这些组织使命的一系列详细答案。
Fowler指出,还有大量扫描的护照、身份证和各个组织的员工名录。员工文件包括员工姓名、税务数据、工资信息和工作职责。还有一些文件被标记为“受害者成功案例”或证词。其中一些文件包含受助者的姓名和电子邮件地址,以及他们的个人经历细节。
虽然联合国妇女署收到通知后已修复漏洞,但事件揭示出加强人道组织数据安全的重要性,以防止对受害群体的进一步伤害。该基金旨在通过向致力于消除性别暴力和促进妇女权利的地方、国家和地区组织提供财政和技术支持,防止和解决针对妇女和女童的暴力行为。
相关阅读
国家网信办发布《全民数字素养与技能发展水平调查报告(2024)
原文始发于微信公众号(安全学习那些事儿):联合国数据库配置错误致228GB性别暴力受害者数据泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论