Ni siquiera una de las organizaciones políticas más importantes del mundo, la Organización de las Naciones Unidas, es inmune a las amenazas informáticas. Un investigador de seguridad ha informado que la organización estaba exponiendo información en Internet sin percatarse de ello.
El investigador de seguridad Kushagra Pathak dijo que había encontrado la información hace meses, pero que a pesar de las advertencias y peligros, la organización tardó en responder a la situación. “En agosto encontré 60 tableros de Trello, un archivo de Jira público y muchos documentos de Google Docs de las Naciones Unidas que contenían credenciales a múltiples servidores FTP, redes sociales y cuentas de correo, además de documentos internos”, explicó el investigador en un tweet.
“Información como vulnerabilidades expuestas y vulnerabilidades de seguridad, las credenciales de sus cuentas de redes sociales, cuentas de correo electrónico, servidores y paneles de administración están disponibles en tableros Trello públicos y se están añadiendo a los índices de los motores de búsqueda para que cualquiera pueda encontrarlos con facilidad”, escribió Pathak, que tiene una amplia experiencia investigando tableros de Trello.
Es decir, la desprotección de la información no sólo expuso documentos y proyectos que deberían haberse mantenido privados, sino que también puso a disposición del público las credenciales de acceso a diferentes cuentas de los funcionarios de las Naciones Unidas. “Algunos de los tableros contienen información que no es privada, otros contienen datos antiguos. Aun así, estamos revisando todos los tableros de la lista para garantizar de que no se compartan contraseñas ni credenciales por este medio”, afirmó Pathak.
Pero esto no es todo: por otra parte, el investigador Mohamed Baset de Seekurity también descubrió vulnerabilidades de seguridad en los sistemas de las Naciones Unidas, pero esta vez exponían miles de Currículum Vitae enviados por postulantes a puestos de trabajo en la organización. Los documentos son un repositorio de datos personales y de contacto que pueden usarse con facilidad para engañar a las víctimas en ataques de fraude e ingeniería social.
La vulnerabilidad se encontraba en uno de los sistemas del gestor de contenidos WordPress, que la organización utiliza para administrar las aplicaciones de trabajo. Baset afirmó que la vulnerabilidad es conocida y la exposición de estos datos se hubiese evitado teniendo actualizado el sistema WordPress.
Baset tomó la controvertida decisión de dar a conocer la vulnerabilidad esta semana, después de haber informado a las Naciones Unidas en agosto sobre el incidente sin obtener soluciones. Baset también publicó un video que demuestra la existencia y peligros de la vulnerabilidad.
El experto en seguridad y Director Ejecutivo de High-Tech Bridges, Ilia Kolochenko, atribuyó parte del problema al bajo presupuesto para la seguridad que tiene las Naciones Unidas, y explicó que compañías con muchos más recursos han pasado por problemas similares: “problemas de seguridad similares pueden encontrarse fácilmente en sitios web de muchas organizaciones y compañías con grandes recursos, que no necesariamente reaccionan mejor o más rápido cuando se descubre una vulnerabilidad. Por lo tanto, sin justificar la negligencia y falta de cuidado de la seguridad informática de la agencia, evito culpar a la ONU del problema”.
Fuentes
United Nations Data Breach Leaks Passwords and Other Data • The Mac Observer
United Nations accidentally exposed passwords and sensitive information to the whole Internet • The Intercept
United Nations data found exposed on web: researcher • SC Magazine
Fallas de seguridad exponen documentos, datos personales y credenciales de funcionarios de la ONU