Um banco de dados contendo informações sensíveis, às vezes pessoais, do Fundo de Confiança das Nações Unidas para Acabar com a Violência Contra as Mulheres estava acessível abertamente na internet, revelando mais de 115.000 arquivos relacionados a organizações que são parceiras ou recebem financiamento da ONU Mulheres. Os documentos vão desde informações sobre funcionários e contratos até cartas e até auditorias financeiras detalhadas sobre organizações que trabalham com comunidades vulneráveis em todo o mundo, incluindo sob regimes repressivos.
O pesquisador de segurança Jeremiah Fowler descobriu o banco de dados, que não estava protegido por senha ou de outra forma controlado, e divulgou a descoberta à ONU, que assegurou o banco de dados. Incidentes desse tipo não são incomuns, e muitos pesquisadores frequentemente encontram e divulgam exemplos de exposições para ajudar as organizações a corrigir erros de gerenciamento de dados. Mas Fowler enfatiza que essa ubiquidade é exatamente o que torna importante continuar a conscientização sobre a ameaça de tais configurações incorretas. O banco de dados da ONU Mulheres é um exemplo primo de um pequeno erro que poderia criar risco adicional para mulheres, crianças e pessoas LGBTQ vivendo em situações hostis em todo o mundo.
“Eles estão fazendo um ótimo trabalho e ajudando pessoas reais no terreno, mas o aspecto da cibersegurança ainda é crítico”, diz Fowler à WIRED. “Encontrei muitos dados antes, incluindo de todos os tipos de agências governamentais, mas essas organizações estão ajudando pessoas que estão em risco apenas por serem quem são, onde estão.”
Um porta-voz da ONU Mulheres diz à WIRED em um comunicado que a organização aprecia a colaboração de pesquisadores de cibersegurança e combina quaisquer descobertas externas com sua própria telemetria e monitoramento.
“De acordo com nosso procedimento de resposta a incidentes, medidas de contenção foram rapidamente colocadas em prática e ações investigativas estão sendo tomadas”, disse o porta-voz sobre o banco de dados descoberto por Fowler. “Estamos no processo de avaliar como nos comunicar com as pessoas potencialmente afetadas para que elas estejam cientes e alertas, além de incorporar as lições aprendidas para evitar incidentes semelhantes no futuro.”
Os dados poderiam expor as pessoas de várias maneiras. No nível organizacional, algumas das auditorias financeiras incluem informações sobre contas bancárias, mas mais amplamente, as divulgações fornecem detalhes granulares sobre onde cada organização obtém seu financiamento e como orça. As informações também incluem desagregações de custos operacionais e detalhes sobre funcionários que poderiam ser usados para mapear as interconexões entre grupos da sociedade civil em um país ou região. Essas informações também são propensas a abusos em fraudes, uma vez que a ONU é uma organização tão confiável, e os dados expostos forneceriam detalhes sobre operações internas e potencialmente serviriam como modelos para atores maliciosos criarem comunicações que pareçam legítimas e que supostamente venham da ONU.
“Você tem uma lista de organizações e detalhes sobre seu pessoal e atividades, e alguns dos projetos que vi tinham orçamentos na casa dos milhões de dólares”, diz Fowler. “Se esses dados caíssem em mãos erradas ou chegassem à dark web, você poderia ter golpistas ou um governo autoritário olhando para quais organizações estão trabalhando onde, e com quem estão trabalhando, para alvo-las e até descobrir nomes de pessoas que eles ajudaram.”
Isso leva ao outro elemento crucial da descoberta: Além de alimentar fraudes e potencialmente expor organizações locais, os dados poderiam ser explorados para direcionar diretamente indivíduos em risco com tentativas de extorsão ou até mesmo ações da polícia local.
“Vi cartas de pessoas que foram vítimas de sequestro, estupro, abuso – pessoas contando suas histórias, provavelmente acreditando que permaneceriam anônimas”, diz Fowler. “Havia uma carta de alguém que contraiu HIV, que foi ajudado por uma fundação, e contou toda a sua história de como sua família e amigos se voltaram contra ele.”
Se a descoberta estimular a revisão da infraestrutura e outras detecções, isso poderia ajudar muito a ONU Mulheres – e o ecossistema em expansão de organizações da ONU de forma mais ampla – a capturar quaisquer outros erros fáceis de corrigir e prevenir possíveis vazamentos de dados.