Uma base de dados que contém informações sensíveis e por vezes pessoais do Fundo Fiduciário das Nações Unidas para Acabar com a Violência contra as Mulheres foi acedida publicamente online, revelando mais de 115.000 ficheiros relacionados com organizações que fazem parceria ou recebem financiamento da ONU Mulheres. Os documentos vão desde informações pessoais e contratos até cartas e até auditorias financeiras detalhadas de organizações que trabalham com comunidades vulneráveis em todo o mundo, incluindo aquelas em regimes repressivos.
Pesquisador de segurança Jeremias Fowler descobriu um banco de dados que não estava protegido por senha ou de outro modo com acesso controlado e divulgou a descoberta à ONU, que protegeu o banco de dados. Tais incidentes não são incomuns, e muitos pesquisadores encontram e divulgam regularmente exemplos de impactos para ajudar as organizações a corrigir erros de gestão de dados. Mas Fowler argumenta que esta deslocação é precisamente a razão pela qual é importante continuar a aumentar a consciencialização sobre os perigos de tais configurações erradas. A base de dados das Nações Unidas (ONU Mulheres) é um excelente exemplo de um pequeno erro que pode criar riscos adicionais para mulheres, crianças e pessoas LGBTQ que vivem em situações hostis em todo o mundo.
“Eles estão fazendo um ótimo trabalho e ajudando pessoas reais no local, mas o aspecto da segurança cibernética ainda é importante”, disse Fowler à WIRED. “Recebi muitas informações antes, inclusive de todos os tipos de agências governamentais, mas essas organizações ajudam pessoas que estão em risco apenas porque estão e onde estão”.
Um porta-voz das Nações Unidas disse à WIRED num comunicado que a organização aprecia a cooperação dos investigadores de segurança cibernética e integra quaisquer descobertas externas com a sua própria telemetria e monitorização.
“De acordo com nossos procedimentos de resposta a incidentes, medidas preventivas foram tomadas rapidamente e ações investigativas estão sendo tomadas”, disse um porta-voz do banco de dados Fowler. “Estamos no processo de avaliar a melhor forma de comunicar com as pessoas potencialmente afetadas para garantir que estejam conscientes e vigilantes e para incorporar as lições aprendidas para evitar incidentes semelhantes no futuro”.
A informação pode expor as pessoas de várias maneiras. A nível organizacional, algumas das auditorias financeiras incluem informações de contas bancárias, mas, de forma mais geral, as divulgações incluem informações detalhadas sobre onde cada organização obtém o seu financiamento e como orçamenta. Os dados também incluem uma discriminação dos custos operacionais e detalhes do pessoal, que podem ser utilizados para mapear as ligações entre grupos da sociedade civil num país ou região. Essas informações também são propícias ao uso indevido em fraudes porque as Nações Unidas são uma organização muito confiável, e as informações vazadas forneceriam detalhes sobre as operações internas e serviriam potencialmente como um modelo para atores mal-intencionados criarem comunicações legítimas que supostamente vêm da ONU.
