Baza danych zawierająca wrażliwe, czasem osobiste dane pochodzące z Funduszu Powierniczego ONZ na rzecz położenia kresu przemocy wobec kobiet była ogólnodostępna w Internecie i zawierała ponad 115 000 plików związanych z organizacjami współpracującymi z UN Women lub otrzymującymi od nich fundusze. Zakres dokumentów sięga od informacji kadrowych i umów po pisma, a nawet szczegółowe audyty finansowe dotyczące organizacji pracujących ze społecznościami bezbronnymi na całym świecie, w tym w ramach represyjnych reżimów.
Badacz bezpieczeństwa Jeremiasza Fowlera odkrył bazę danych, która nie była chroniona hasłem ani w żaden inny sposób nie podlegała kontroli dostępu, i ujawniła ustalenia ONZ, która zabezpieczyła bazę danych. Takie incydenty nie są rzadkością i wielu badaczy regularnie znajduje i ujawnia przykłady narażenia, aby pomóc organizacjom skorygować błędy w zarządzaniu danymi. Fowler podkreśla jednak, że właśnie z powodu tej wszechobecności tak ważne jest dalsze zwiększanie świadomości na temat zagrożeń związanych z takimi błędnymi konfiguracjami. Baza danych ONZ Women jest doskonałym przykładem małego błędu, który może stworzyć dodatkowe ryzyko dla kobiet, dzieci i osób LGBTQ żyjących we wrogich sytuacjach na całym świecie.
„Wykonują świetną robotę i pomagają prawdziwym ludziom w terenie, ale aspekt cyberbezpieczeństwa jest nadal krytyczny” – mówi Fowler WIRED. „Znalazłam już wiele danych, w tym pochodzących od wszelkiego rodzaju agencji rządowych, ale organizacje te pomagają osobom zagrożonym tylko dlatego, że są tym, kim są i gdzie się znajdują”.
Rzeczniczka UN Women mówi WIRED w oświadczeniu, że organizacja docenia współpracę badaczy cyberbezpieczeństwa i łączy wszelkie ustalenia z zewnątrz z własną telemetrią i monitorowaniem.
„Zgodnie z naszą procedurą reagowania na incydenty szybko wdrożono środki ograniczające rozprzestrzenianie się wirusa i podejmowane są działania dochodzeniowe” – powiedział rzecznik bazy danych, którą odkrył Fowler. „Jesteśmy w trakcie oceniania, w jaki sposób komunikować się z potencjalnymi osobami, których to dotyczy, aby były świadome i czujne, a także uwzględniały wyciągnięte wnioski, aby zapobiegać podobnym zdarzeniom w przyszłości”.
Dane mogą narazić ludzi na wiele sposobów. Na poziomie organizacji niektóre audyty finansowe obejmują informacje o rachunkach bankowych, ale szerzej, ujawnienia dostarczają szczegółowych informacji na temat tego, skąd każda organizacja czerpie fundusze i w jaki sposób budżetuje. Informacje obejmują także zestawienia kosztów operacyjnych oraz szczegółowe informacje na temat pracowników, które można wykorzystać do zmapowania powiązań między grupami społeczeństwa obywatelskiego w danym kraju lub regionie. Takie informacje nadają się również do nadużyć w oszustwach, ponieważ ONZ jest organizacją cieszącą się takim zaufaniem, a ujawnione dane dostarczałyby szczegółowych informacji na temat operacji wewnętrznych i potencjalnie służyłyby złośliwym podmiotom za szablony do tworzenia wyglądających na legalne komunikatów rzekomo pochodzących od ONZ.
