Cientos de miles de archivos pertenecientes al Fondo Fiduciario de las Naciones Unidas para Eliminar la Violencia contra la Mujer (United Nations Trust Fund to End Violence against Women) han sido hallados sin ningún tipo de protección en Internet.
El investigador de ciberseguridad Jeremiah Fowler fue quien descubrió una base de datos sin contraseña y la reportó a vpnMentor. Esta albergaba 228 GB de información y 115.141 archivos sin cifrar, mostrándose accesibles para cualquier persona con conexión a la Red.
La base contendría información vinculada a UN Women (ONU Mujeres) y el citado organismo, incluyendo cartas y documentos y con el sello de la ONU.
Fowler encontró dentro de la base de datos documentos de pasaportes y carnets de identidad escaneados, junto con información detallada sobre las funciones del personal, incluyendo nombres, puestos de trabajo, información salarial y datos fiscales.
Pero el investigador también halló detalles mucho más sensibles pertenecientes a las víctimas de violencia de género, como testimonios o "historias de éxito de víctimas".
“Algunos de ellos contenían los nombres y direcciones de correo electrónico de las personas ayudadas por los programas, así como detalles de sus experiencias personales. Por ejemplo, una de las cartas supuestamente era de una colegiala de Chibok que fue una de las 276 personas secuestradas por Boko Haram en 2014”, explica Fowler en su informe para vpnMentor.
¿Han accedido los cibermalos a sus datos?
Se desconoce por cuánto tiempo ha estado expuesta la base de datos y si la misma es administrada por la organización UN Women o un tercero, además de si alguien de fuera de la organización ha accedido a ella.
Si los datos han caído en manos de los actores de amenazas podrían usarse para realizar ataques de phising selectivos contra direcciones de email expuestas mediante documentos manipulados. Asimismo, un atacante podría usar los documentos para extraer información de alto nivel sobre la estructura organizativa y financiera de la institución.
El investigador se puso en contacto con el equipo de Seguridad de la Información de la ONU sobre la base de datos desprotegida y recibió una respuesta donde se le indicaba que era un tema que no les concernía a ellos y sí a UN Women.