FN-databrud har kompromitteret mere end 100.000 medarbejderes personfølsomme oplysninger

Navne, ID, køn, nationalitet, lønklasse. Flere tusind FN-medarbejdere har fået kompromitteret personlige og personhenførbare oplysninger, afslører en etisk hackergruppe.

Artikel top billede

(Foto: Marcus Spike)

Den etiske hacking- og sikkerhedsforskningsgruppe Sakura Samurai har afsløret en sikkerhedssårbarhed, da over 100.000 private medarbejderoptegnelser fra FN's miljøprogram (UNEP) har været let tilgængelige.

Gruppen kortlagde problemet ved selv at undersøge, om de kunne få adgang til optegnelserne udenom det lovlige system. Det skriver nichemediet BeepingComputer.

Ad den vej fandt de frem til udsatte git-mapper og legitimationsoplysninger, som gjorde det muligt for forskerne at kopiere git-arkiver og indsamle en stor mængde personligt identificerbar information forbundet med mere end 100.000 ansatte.

ID, navn, nationalitet, køn, lønklasse, rejseoplysninger…

Git-indholdet omfattede følsomme filer, såsom WordPress-konfigurationsfiler (wp-config.php), der eksponerer administratorens databaseoplysninger, og forskellige PHP-filer, indeholdt klartekst-databaser, der var associeret med andre online-systemer fra UNEP og FN's Internationale Arbejdsorganisation (ILO).

Derudover gjorde de offentligt tilgængelige git-legitimationsfiler forskerne i stand til at få fat i UNEPs kildekodebase.

Det eksponerede data, som gruppen konkret fik fat i, indeholdt rejsehistorik for FN-medarbejdere, medarbejder-id, navne, medarbejdergrupper, rejsebegrundelse, start- og slutdatoer, godkendelsesstatus, destination og opholdets længde.

Ligeledes eksponerede andre FN-databaser, som forskerne havde adgang til som en del af deres analyse, nationalitet, køn og lønklasse på tusinder af ansatte. Desuden fandt de frem til projektfinansieringskildedokumenter, generaliserede medarbejderregistre og beskæftigelsesevalueringsrapporter.

"Den rapporterede sårbarhed vedrører ikke FN's sekretariat”

Gruppen oplyser, at det tog dem under 24 timer at samle disse oplysninger. De rapporterede sårbarheden til FN 4. januar 2021.

Som svar på rapporteringen fik gruppen denne besked:

"Den rapporterede sårbarhed vedrører ikke FN's sekretariat og er for ILO (International Labour Organization)."

Efterfølgende takkede Saiful Ridwan, chef for virksomhedsløsninger for UNEP, forskerne for deres sårbarhedsrapport, og meddelte at deres DevOps-team havde taget øjeblikkelige skridt til at patche sårbarheden, og igangsat en konsekvensanalyse.

Læses lige nu

    Event: Årets CISO 2026

    Sikkerhed | Kongens Lyngby

    Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

    22 oktober 2026 | Gratis deltagelse

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    IT-sikkerhedsspecialist med fokus på Governance, risiko, compliance og akkreditering

    Københavnsområdet

    Danoffice IT

    Head of Business Enablement

    Københavnsområdet

    Red Barnet

    Software developer til Red Barnets IT-team

    Københavnsområdet

    Statens IT

    Netscaler specialist til Statens It

    Københavnsområdet

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos