Se ha descubierto en línea una base de datos que se cree pertenece al Fondo Fiduciario de las Naciones Unidas para poner fin a la violencia contra las mujeres y que contiene informes financieros, información de cuentas bancarias, detalles de empleados, testimonios de víctimas y más.
La base de datos, que contiene un total de 228 GB de información, fue descubierta por el investigador de ciberseguridad Jeremiah Fowler y reportada a vpnMentor.
Carecía de protección con contraseña y mostraba 115.141 archivos. No cifrado Cualquier persona con conexión a Internet puede acceder a él.
Se ha divulgado información de víctimas y trabajadores.
Aunque la base de datos no está actualmente confirmada, contiene información asociada con ONU Mujeres y el Fondo Fiduciario de las Naciones Unidas para poner fin a la violencia contra las mujeres, incluidas cartas y documentos dirigidos a las Naciones Unidas y estampados con logotipos de las Naciones Unidas, con referencia específica a las Naciones Unidas para las mujeres. .
Entre la información de la base de datos, Fowler identificó documentos de pasaporte y tarjetas de identificación escaneados, junto con información detallada sobre las funciones de los empleados, incluidos nombres, funciones laborales, información salarial y datos fiscales.
“También había documentos titulados 'historias de éxito de víctimas' o testimonios”, escribió Fowler en su informe a la BBC. vpnMentor. “Algunos contenían nombres y direcciones de correo electrónico de quienes recibieron ayuda de los programas, así como detalles sobre sus experiencias personales. Por ejemplo, un mensaje supuestamente era de una colegiala de Chibok que fue una de las 276 personas secuestradas por Boko Haram en 2014”.
No se sabe cuánto tiempo ha estado expuesta la base de datos, si es administrada por ONU Mujeres o un tercero, o si alguien ajeno a la organización ha accedido a la base de datos.
Fowler explica varias situaciones hipotéticas en las que los datos podrían usarse indebidamente, como ataques de phishing disfrazados contra direcciones de correo electrónico expuestas utilizando documentos manipulados. En teoría, un actor de amenazas también podría utilizar los documentos para obtener una comprensión de alto nivel de la planificación organizativa y financiera de la organización.
ONU Mujeres tiene una alerta de estafa publicada en su sitio web que no tiene fecha, pero la página se remonta al menos a julio de 2022, con una actualización en julio de 2024 que agrega una guía para usar el Portal de verificación de cantidades de compras. Fowler alertó al equipo de seguridad de la información de la ONU sobre la base de datos desprotegida y recibió una respuesta que decía que “la vulnerabilidad reportada no nos pertenece (la Secretaría de la ONU) y pertenece a ONU Mujeres. Por favor informe la vulnerabilidad a ONU Mujeres”.