Tausende Bewerber-Unterlagen der UNESCO online
Eine Sicherheitslücke in der Webseite der UNESCO hat dazu geführt, dass die persönlichen Daten von zehntausenden Bewerbern öffentlich einsehbar waren. Das berichtete das Nachrichtenmagazin '
Ein Bewerber hatte das Problem vor gut einem Monat entdeckt. Nachdem die UNESO nicht auf seine Hinweise reagierte, wandte er sich an das Magazin, bei dem der Fehler in der Konfiguration der Webseite nachvollzogen werden konnte. Der fragliche Bewerber wurde auf den Bug aufmerksam, nachdem er seine online eingegeben Daten auch zu einem späteren Zeitpunkt noch über die Adresse der Druckansicht des Eingabeformulars abrufen konnte.
Eine manuelle Veränderung der ID-Nummer im URL führte zu den Datensätzen anderer Bewerber. Eine Überprüfung ergab, dass so wohl Informationen über rund 80.000 Bewerber aus den Jahren 2006 bis 2011 einsehbar sind. Hinzu kommt eine zweite Datenbank mit Bewerbungen für Praktika, die rund 1,1 Millionen Datensätze enthalten soll, von denen aber ein guter Teil leer oder nur rudimentär ausgefüllt ist.
Sicherheits-Experten zufolge können die Informationen, die sich aus den Bewerbungen ergeben, genutzt werden, um beispielsweise bestimmte Organisationen oder Behörden anzugreifen. Immerhin sind viele, die sich bei der UNESCO bewarben, in teilweise höheren Positionen staatlicher Stellen rund um die Welt tätig.
Gezielt könnten hier beispielsweise Phishing-Attacken gefahren werden, bei denen eine E-Mail von der UNESCO vorgetäuscht wird, die sich auf die Bewerbung bezieht. Enthält die Nachricht einen Link auf eine manipulierte Seite kann ein Angreifer relativ einfach eine Malware in ein Behördennetz einschleusen.
Für die Betroffenen könnte das Problem aber auch einfach nur peinliche Folgen haben - etwa wenn man den bisherigen Arbeitgeber über seine Wechselabsichten im Unklaren gelassen hat. Dies betrifft beispielsweise verschiedene Mitarbeiter der Weltbank oder aus den diplomatischen Corps mehrerer Länder, die sich bei der UNO-Organisation beworben haben
Quelle: winfuture
Eine Sicherheitslücke in der Webseite der UNESCO hat dazu geführt, dass die persönlichen Daten von zehntausenden Bewerbern öffentlich einsehbar waren. Das berichtete das Nachrichtenmagazin '
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
'.Ein Bewerber hatte das Problem vor gut einem Monat entdeckt. Nachdem die UNESO nicht auf seine Hinweise reagierte, wandte er sich an das Magazin, bei dem der Fehler in der Konfiguration der Webseite nachvollzogen werden konnte. Der fragliche Bewerber wurde auf den Bug aufmerksam, nachdem er seine online eingegeben Daten auch zu einem späteren Zeitpunkt noch über die Adresse der Druckansicht des Eingabeformulars abrufen konnte.
Eine manuelle Veränderung der ID-Nummer im URL führte zu den Datensätzen anderer Bewerber. Eine Überprüfung ergab, dass so wohl Informationen über rund 80.000 Bewerber aus den Jahren 2006 bis 2011 einsehbar sind. Hinzu kommt eine zweite Datenbank mit Bewerbungen für Praktika, die rund 1,1 Millionen Datensätze enthalten soll, von denen aber ein guter Teil leer oder nur rudimentär ausgefüllt ist.
Sicherheits-Experten zufolge können die Informationen, die sich aus den Bewerbungen ergeben, genutzt werden, um beispielsweise bestimmte Organisationen oder Behörden anzugreifen. Immerhin sind viele, die sich bei der UNESCO bewarben, in teilweise höheren Positionen staatlicher Stellen rund um die Welt tätig.
Gezielt könnten hier beispielsweise Phishing-Attacken gefahren werden, bei denen eine E-Mail von der UNESCO vorgetäuscht wird, die sich auf die Bewerbung bezieht. Enthält die Nachricht einen Link auf eine manipulierte Seite kann ein Angreifer relativ einfach eine Malware in ein Behördennetz einschleusen.
Für die Betroffenen könnte das Problem aber auch einfach nur peinliche Folgen haben - etwa wenn man den bisherigen Arbeitgeber über seine Wechselabsichten im Unklaren gelassen hat. Dies betrifft beispielsweise verschiedene Mitarbeiter der Weltbank oder aus den diplomatischen Corps mehrerer Länder, die sich bei der UNO-Organisation beworben haben
Quelle: winfuture
