Uma base de dados contendo informações sensíveis, por vezes pessoais, do Fundo Fiduciário das Nações Unidas para Acabar com a Violência contra as Mulheres foi abertamente acessível na Internet, revelando mais de 115.000 ficheiros relacionados com organizações que fazem parceria ou recebem financiamento da ONU Mulheres. Os documentos vão desde informações sobre pessoal e contratos até cartas e até auditorias financeiras detalhadas sobre organizações que trabalham com comunidades vulneráveis em todo o mundo, inclusive sob regimes repressivos.
Pesquisador de segurança Jeremias Fowler descobriu a base de dados, que não estava protegida por senha nem tinha acesso controlado, e divulgou a descoberta à ONU, que garantiu a segurança da base de dados. Tais incidentes não são incomuns, e muitos pesquisadores encontram e divulgam regularmente exemplos de exposições para ajudar as organizações a corrigir erros de gerenciamento de dados. Mas Fowler enfatiza que esta onipresença é exatamente a razão pela qual é importante continuar a aumentar a conscientização sobre a ameaça de tais configurações incorretas. A base de dados da ONU Mulheres é um excelente exemplo de um pequeno erro que pode criar riscos adicionais para mulheres, crianças e pessoas LGBTQ que vivem em situações hostis em todo o mundo.
“Eles estão fazendo um ótimo trabalho e ajudando pessoas reais no local, mas o aspecto da segurança cibernética ainda é crítico”, disse Fowler à WIRED. “Já encontrei muitos dados antes, inclusive de todos os tipos de agências governamentais, mas essas organizações estão ajudando pessoas que estão em risco apenas por serem quem são, onde estão.”
Um porta-voz da ONU Mulheres disse à WIRED em comunicado que a organização aprecia a colaboração de pesquisadores de segurança cibernética e combina quaisquer descobertas externas com sua própria telemetria e monitoramento.
“De acordo com nosso procedimento de resposta a incidentes, medidas de contenção foram rapidamente implementadas e ações investigativas estão sendo tomadas”, disse o porta-voz sobre o banco de dados descoberto por Fowler. “Estamos no processo de avaliar como comunicar com as potenciais pessoas afetadas para que estejam conscientes e alertas, bem como incorporar as lições aprendidas para evitar incidentes semelhantes no futuro.”
Os dados podem expor as pessoas de várias maneiras. A nível organizacional, algumas das auditorias financeiras incluem informações de contas bancárias, mas, de forma mais geral, as divulgações fornecem detalhes granulares sobre onde cada organização obtém o seu financiamento e como orçamenta. A informação também inclui detalhamentos dos custos operacionais e detalhes sobre funcionários que poderiam ser usados para mapear as interconexões entre grupos da sociedade civil num país ou região. Essas informações também estão sujeitas a abusos em fraudes, uma vez que a ONU é uma organização muito confiável, e os dados expostos forneceriam detalhes sobre operações internas e serviriam potencialmente como modelos para atores mal-intencionados criarem comunicações aparentemente legítimas que pretendem vir da ONU.
