Sebuah database yang mengandung informasi sensitif, terkadang pribadi dari Dana PBB untuk Mengakhiri Kekerasan terhadap Perempuan dapat diakses secara terbuka di internet, mengungkapkan lebih dari 115.000 file terkait dengan organisasi yang bermitra atau menerima pendanaan dari UN Women. Dokumen-dokumen tersebut mulai dari informasi staf dan kontrak hingga surat dan bahkan audit keuangan terperinci tentang organisasi yang bekerja dengan komunitas rentan di seluruh dunia, termasuk di bawah rezim yang represif.
Peneliti keamanan Jeremiah Fowler menemukan database tersebut, yang tidak dilindungi kata sandi atau terkendali aksesnya, dan mengungkapkan temuan tersebut kepada PBB, yang mengamankan database tersebut. Kejadian seperti ini tidak jarang terjadi, dan banyak peneliti secara teratur menemukan dan mengungkapkan contoh paparan untuk membantu organisasi memperbaiki kesalahan manajemen data. Namun, Fowler menekankan bahwa keberadaan tersebut adalah alasan mengapa penting untuk terus meningkatkan kesadaran tentang ancaman dari kesalahan konfigurasi seperti itu. Database UN Women adalah contoh utama dari kesalahan kecil yang dapat menimbulkan risiko tambahan bagi perempuan, anak-anak, dan orang LGBTQ yang tinggal dalam situasi yang tidak ramah di seluruh dunia.
“Mereka melakukan pekerjaan yang hebat dan membantu orang-orang nyata di lapangan, tetapi aspek keamanan cyber masih kritis,” kata Fowler kepada WIRED. “Saya telah menemukan banyak data sebelumnya, termasuk dari berbagai lembaga pemerintah, tetapi organisasi-organisasi ini membantu orang-orang yang berisiko hanya karena siapa mereka, di mana mereka berada.”
Jurubicara UN Women memberitahu WIRED dalam sebuah pernyataan bahwa organisasi tersebut menghargai kolaborasi dari peneliti keamanan cyber dan menggabungkan temuan dari luar dengan telemetri dan pemantauannya sendiri.
“Seperti prosedur tanggapan insiden kami, langkah-langkah penahanan segera diterapkan dan tindakan investigasi sedang dilakukan,” kata jurubicara tersebut mengenai database yang ditemukan oleh Fowler. “Kami sedang mengevaluasi bagaimana berkomunikasi dengan orang-orang yang mungkin terkena dampak sehingga mereka sadar dan waspada serta menggabungkan pelajaran yang dipetik untuk mencegah kejadian serupa di masa depan.”
Data tersebut dapat mengekspos orang secara berbagai cara. Pada tingkat organisasi, beberapa audit keuangan mencakup informasi rekening bank, tetapi lebih luas lagi, paparan tersebut memberikan detail yang sangat rinci tentang dari mana setiap organisasi mendapatkan pendanaannya dan bagaimana anggarannya. Informasi tersebut juga mencakup perincian biaya operasional, dan rincian tentang karyawan yang dapat digunakan untuk memetakan interkoneksi antara kelompok masyarakat sipil di suatu negara atau wilayah. Informasi tersebut juga rentan terhadap penyalahgunaan dalam penipuan karena PBB adalah organisasi yang sangat dipercaya, dan data yang terbuka tersebut akan memberikan rincian tentang operasi internal dan potensial menjadi contoh untuk aktor jahat membuat komunikasi yang terlihat sah purport to datang dari PBB.