Eine Datenbank mit sensiblen, manchmal persönlichen Informationen des Treuhandfonds der Vereinten Nationen zur Beendigung von Gewalt gegen Frauen war im Internet offen zugänglich und enthüllte mehr als 115.000 Dateien, die mit Partnerorganisationen verknüpft waren oder Gelder von UN Women erhielten. Die Dokumente reichen von Personal- und Vertragsinformationen über Briefe bis hin zu detaillierten Finanzprüfungen von Organisationen, die mit gefährdeten Gemeinschaften auf der ganzen Welt arbeiten, auch unter repressiven Regimen.
Der Sicherheitsforscher Jeremiah Fowler entdeckte die Datenbank, die weder passwortgeschützt noch anderweitig kontrolliert war, und gab seine Erkenntnisse an die UN weiter, die die Datenbank sicherte. Solche Vorfälle sind keine Seltenheit, und viele Forscher finden und veröffentlichen regelmäßig Beispiele für Gefährdungen, um Organisationen bei der Korrektur von Datenverwaltungsfehlern zu helfen. Aber Fowler weist darauf hin, dass es genau diese Allgegenwart ist, warum es wichtig ist, das Bewusstsein für die Bedrohung durch solche Fehlkonfigurationen weiter zu schärfen. Die UN Women-Datenbank ist ein großartiges Beispiel für einen kleinen Fehler, der ein zusätzliches Risiko für Frauen, Kinder und LGBTQ-Personen darstellen könnte, die auf der ganzen Welt in feindseligen Situationen leben.
„Sie leisten großartige Arbeit und helfen echten Menschen vor Ort, aber der Aspekt der Cybersicherheit bleibt entscheidend“, sagte Fowler gegenüber WIRED. „Ich habe bereits viele Daten gefunden, auch von allen möglichen Regierungsbehörden, aber diese Organisationen helfen gefährdeten Menschen einfach aufgrund ihrer Identität und ihres Aufenthaltsorts.“
Eine Sprecherin von UN Women sagte gegenüber WIRED in einer Erklärung, dass die Organisation die Zusammenarbeit von Cybersicherheitsforschern schätzt und alle externen Erkenntnisse mit ihrer eigenen Telemetrie und Überwachung kombiniert.
„In Übereinstimmung mit unserem Verfahren zur Reaktion auf Vorfälle wurden schnell Eindämmungsmaßnahmen ergriffen und Ermittlungsmaßnahmen sind im Gange“, sagte der Sprecher über die von Fowler entdeckte Datenbank. „Wir prüfen, wie wir mit den potenziell Betroffenen kommunizieren können, damit sie aufmerksam und wachsam sind, und ziehen die gewonnenen Erkenntnisse ein, um ähnliche Vorfälle in Zukunft zu vermeiden.“
Die Daten könnten Menschen auf verschiedene Weise entlarven. Auf organisatorischer Ebene umfassen einige Finanzprüfungen Informationen über Bankkonten, aber im weiteren Sinne liefern Offenlegungen spezifische Details darüber, woher jede Organisation ihre Mittel bezieht und wie sie budgetiert. Die Informationen umfassen auch eine Aufschlüsselung der Betriebskosten und Mitarbeiterdaten, die zur Darstellung der Verbindungen zwischen zivilgesellschaftlichen Gruppen in einem Land oder einer Region verwendet werden könnten. Diese Informationen können auch bei Betrügereien missbraucht werden, da es sich bei den Vereinten Nationen um eine äußerst vertrauenswürdige Organisation handelt und die offengelegten Daten Einzelheiten zu internen Abläufen liefern und möglicherweise als Vorlage für böswillige Akteure dienen würden, um den Anschein zu erwecken, dass legitime Mitteilungen von den Vereinten Nationen stammen.