FN-databrud har kompromitteret mere end 100.000 medarbejderes personfølsomme oplysninger

Navne, ID, køn, nationalitet, lønklasse. Flere tusind FN-medarbejdere har fået kompromitteret personlige og personhenførbare oplysninger, afslører en etisk hackergruppe.

Den etiske hacking- og sikkerhedsforskningsgruppe Sakura Samurai har afsløret en sikkerhedssårbarhed, da over 100.000 private medarbejderoptegnelser fra FN's miljøprogram (UNEP) har været let tilgængelige.

Gruppen kortlagde problemet ved selv at undersøge, om de kunne få adgang til optegnelserne udenom det lovlige system. Det skriver nichemediet BeepingComputer.

Ad den vej fandt de frem til udsatte git-mapper og legitimationsoplysninger, som gjorde det muligt for forskerne at kopiere git-arkiver og indsamle en stor mængde personligt identificerbar information forbundet med mere end 100.000 ansatte.

ID, navn, nationalitet, køn, lønklasse, rejseoplysninger…
Git-indholdet omfattede følsomme filer, såsom WordPress-konfigurationsfiler (wp-config.php), der eksponerer administratorens databaseoplysninger, og forskellige PHP-filer, indeholdt klartekst-databaser, der var associeret med andre online-systemer fra UNEP og FN's Internationale Arbejdsorganisation (ILO).

Derudover gjorde de offentligt tilgængelige git-legitimationsfiler forskerne i stand til at få fat i UNEPs kildekodebase.

Det eksponerede data, som gruppen konkret fik fat i, indeholdt rejsehistorik for FN-medarbejdere, medarbejder-id, navne, medarbejdergrupper, rejsebegrundelse, start- og slutdatoer, godkendelsesstatus, destination og opholdets længde.

Ligeledes eksponerede andre FN-databaser, som forskerne havde adgang til som en del af deres analyse, nationalitet, køn og lønklasse på tusinder af ansatte. Desuden fandt de frem til projektfinansieringskildedokumenter, generaliserede medarbejderregistre og beskæftigelsesevalueringsrapporter.

"Den rapporterede sårbarhed vedrører ikke FN's sekretariat”
Gruppen oplyser, at det tog dem under 24 timer at samle disse oplysninger. De rapporterede sårbarheden til FN 4. januar 2021.

Som svar på rapporteringen fik gruppen denne besked:

"Den rapporterede sårbarhed vedrører ikke FN's sekretariat og er for ILO (International Labour Organization)."

Efterfølgende takkede Saiful Ridwan, chef for virksomhedsløsninger for UNEP, forskerne for deres sårbarhedsrapport, og meddelte at deres DevOps-team havde taget øjeblikkelige skridt til at patche sårbarheden, og igangsat en konsekvensanalyse.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021 - trends, teknologi, innovation og organisationsformer

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

15. april 2021 | Læs mere


Sådan gør IT bæredygtighed til en god forretning

Presset øges i disse år på virksomheder for at begrænse klimabelastningen. IT og teknologi spiller en nøglerolle i arbejdet, hvilket er emnet for denne konference. Her kan du blive klogere på, hvordan du aktivt arbejder for at kombinere effektiv og lønsom forretningsdrift med en effektiv bæredygtighedsindsats.

20. april 2021 | Læs mere


The Successful Journey to the Cloud

Cloud usage on enterprise level is growing rapidly and for good reason. With the flexibility and scalability offered by cloud, businesses and organizations can harness new technologies, increase resiliency and adapt to changing demands at an unprecedented level. In this webinar we address some of the important issues to consider when embarking on your cloud adoption journey.

21. april 2021 | Læs mere






Premium
Nationalt sikkerhedscenter advarer: Har du ikke patchet denne VPN-sårbarhed er du blevet hacket
Organisationer, der endnu ikke har installeret en patch udsendt af Fortinet i 2019, kan godt regne med, at de er blevet hacket, advarer det britiske National Cyber Security Centre.
Computerworld
Sikkerhedshul i sundhed.dk gør det let at snyde med coronapas
Et hul i sikkerheden hos sundhed.dk åbner op for, at coronapas-ejere kan ændre på de svar, der står i passet. Men det er dokumentfalsk, advarer sundhed.dks direktør.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
"Vi var nødt til at sige til dem, at I er nødt til at sende ham hjem nu, for han begynder at knække"
"Vi var nødt til at sige til dem, at I er nødt til at sende ham hjem nu, for han begynder at knække"
White paper
Sådan prioriterer IT-sikkerhedschefernes indsatsen i 2021
I denne undersøgelse fra F-Secure giver knap 2.000 ledende personer på tværs af hele Europa deres bud på, hvor de vil prioritere indsatsen i år – og hvad de opfatter som virksomhedernes mest presserende udfordringer på cybersikkerhedsfronten.