Datenleck bei der Unesco: Tausende Bewerberunterlagen frei zugänglich

Die Unesco hat über Jahre die Unterlagen von tausenden Bewerbern ungeschützt im Internet zugänglich gemacht. Wer sich für ein Praktikum oder eine Stelle bei der UNO-Organisation beworben hatte, war bis gestern mit Name, Anschrift, vorherigem Arbeitgeber und Jahresgehalt öffentlich einsehbar, wie Spiegel Online berichtet.

Alle per Webformular eigegebenen Bewerbungen waren demach ohne Weiteres zugänglich. Die Datensätze enthielten neben Handynummern, Anschriften, E-Mail-Adressen und Namen auch detaillierte Auskünfte zu bisherigen Arbeitgebern, Bildungsweg, Sprachkenntnissen sowie zum Teil auch Namen und Adressen von Verwandten der Kandidaten. Unter anderem sei zu erfahren gewesen, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdiene, schreibt Spiegel Online, nämlich einen sechsstelligen Dollarbetrag.

Die Bewerbungsunterlagen für Praktika waren demnach völlig ungeschützt einsehbar. Die ältesten von Spiegel Online gesichteten Daten stammten aus dem Jahr 2006, die jüngsten aus 2011. Bewerbungen auf reguläre Stellen habe man nur lesen können, wenn man sich selbst als Bewerber registrierte. Hier waren Informationen aus den Jahren 2009 bis 2011 verfügbar. Auf beide Datenbanken kann mittlerweile nicht mehr zugegriffen werden. Wie viele Datensätze insgesamt betroffen sind, ist unklar.

Spiegel Online hat nach eigenen Angaben mit mehreren Bewerbern Kontakt aufgenommen: „Die Bewerbungen sind echt, die Kandidaten entsetzt.“ Die Unesco selbst sei längst informiert gewesen: Vor über einem Monat hatte ein Bewerber das Datenleck entdeckt. Durch das Verändern der URL, über die er sein eigenes Profil aufgerufen hatte, konnte er auch die Informationen anderer einsehen. Am 21. März schickte er eine E-Mail, die Spiegel Online vorliegt, an zuständige Abteilungen sowie die Unesco-Pressestelle.

Auch Spiegel Online hat nach eigenen Angaben die Unesco informiert, woraufhin eine der beiden Datenbanken offline genommen wurde. Die zweite folgte nach Veröffentlichung des Artikels. „Auffällig ist das Verhalten der betroffenen Firmen: Konjunktive und Schweigen“, schreibt Sicherheitsforscher Sascha Pfeiffer von Sophos in seinem Blog. Eine Stellungnahme seitens der Unesco steht nach wie vor aus.

Das Missbrauchspotenzial schätzt Pfeiffer als relativ gering ein. „Natürlich bringen ein paar zehntausend valide E-Mail-Adressen, Namen, Anschriften und Telefonnummern etwas Geld – aber da gibt es andere Quellen mit erheblich mehr Datensätzen, die sich leichter zu Geld machen lassen“, erklärte er gegenüber Spiegel Online.

Anders sähe es jedoch beim sogenannten Spear Phishing aus. Dabei suchen sich Angreifer beispielsweise via Social Network einen Angestellten mit Zugriff auf Unternehmenssysteme und schicken ihm E-Mails, deren Dateianhänge Schadsoftware enthalten. Alternativ leiten sie ihn über Links auf Webseiten mit Malware, um so Kontrolle über die Computer einer Firma zu erhalten.

Im Fall der Unesco dürfte der Fehler in einer Fehlkonfiguration der Datenbank zu suchen sein, die es nach einmaliger Anmeldung versäumt, die Zugriffs-ID von Nutzern zu überprüfen.