FN ramt af dataskandale

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Nu er FN-organisationen UNESCO ramt af en større dataskandale. FN's organisation for uddannelse, videnskab og kultur modtager hvert år titusindvis af jobansøgninger – nu er det blevet afsløret, at jobansøgningerne har ligget frit tilgængelige på nettet i flere år.

Det er det tyske ugeblad Der Spiegel, som har opdaget at UNESCO har sløset med datasikkerheden.

Der er tale om to databaser, som dels indeholder ansøgninger til praktikpladser og dels til normale stillinger i organisationen. Begge indeholder informationer om ansøgernes navne, adresser, e-mail, telefonnumre, uddannelsesbaggrund og den komplette tekst fra ansøgningerne.

Her kan man blandt andet læse, hvor meget en ledende medarbejder i det pakistanske diplomati tjener (et seks-cifret dollar-beløb), og hvilke ansatte hos verdensbanken der overvejer at skifte til FN.

Der er tale om ansøgere fra hele verden – altså også fra Danmark. Mange af dem har ledende stillinger og de ønsker formentlig ikke at det kommer frem, at de har ansøgt om job hos FN.

UNESCO er en stor organisation med 2.000 medarbejdere og et årligt budget på 330 mio. dollar.

Ifølge Spiegel har der været fri adgang til ansøgninger fra praktikanter som stammer fra årene 2006 til 2011 – de ligger på nettet uden nogen form for beskyttelse. For at se de normale jobansøgninger skal man først registrere sig som ansøger som FN – men det tager kun få sekunder.

Herefter kan man så hente de enkelte ansøgninger ved at ændre et enkelt tal i internet-adressen (URL'en).

Sikkerhedshullet blev opdaget for en måned siden af en praktikant, som blev bedt om at indtaste sin ansøgning igen. Men han kunne uden problemer finde den gamle ansøgning ved at ændre i URL-linien. Han opdagede så, at det også var muligt at finde andre ansøgninger ved at ændre et enkelt ciffer.

Den 21. marts kontaktede han FN og informerede om problemet, men først efter omtalen i medierne har UNESCO nu fjernet databaserne fra nettet. Det frygtes at it-kriminelle kunne misbruge oplysningerne til phishing, hvor man f.eks. kunne sende falske mails til ansøgerne i UNESCO's navn.