Berta Sándor
Leendő UNESCO-segítők személyes adatai váltak elérhetővé
65 éves történetének egyik legsúlyosabb krízisével kénytelen szembenézni az ENSZ Nevelésügyi, Tudományos és Kulturális Szervezete. Az UNESCO éveken keresztül szabadon hozzáférhetővé tette a hozzá jelentkező leendő segítők és alkalmazottak személyes adatait.
Az elmúlt években több ezren, de becslések szerint akár százezren is jelentkezhettek jövőbeli segítőnek, illetve alkalmazottnak az UNESCO-hoz. Azonban a szervezet bárki számára elérhetővé tette a jelentkezők nevét, címét, továbbá az eddigi munkaadóikra és a fizetésükre vonatkozó információkat. Az eset különösen azért kínos, mert az érintettek között vannak diplomaták, tudósok és más szakemberek. Az embereket sokkolta a hír, az UNESCO viszont hallgatott. Az ügy azután robbant ki, hogy az egyik érintett felfedezte az adatait, de mivel a megkeresésére a szervezet nem reagált, ezért a sajtóhoz fordult.
"Az UNESCO és én akár szerelmes történet is lehetnénk" - írta az egyik jelentkező az ENSZ tagszervezetéhez írt beadványában. Az általa jósolt szerelem azonban el sem kezdődhetett, mivel kirobbant az elmúlt évek egyik legnagyobb adatkezelési botránya. Az UNESCO egy webes nyomtatványt biztosított minden olyan személy számára, aki kedvet és erőt érzett ahhoz, hogy a tudományos és kulturális világtestület munkatársa vagy segítője legyen. Az ajánlat több tízezer ember érdeklődését keltette fel, sokan úgy érezték, eljött az ő idejük és jó dolgokat tehetnek a világért. Minden nyomtatványban szerepelt a jelentkezők neve és címe mellett a mobiltelefonszámuk, az e-mail címük, illetve a nyelvtudásukra, az előző munkahelyeikre, a képzettségükre és a fizetésükre vonatkozó információk is. Mindez egy igazi kincsesbánya lehet a kiberbűnözők számára, akik az adatok segítségével bármikor visszaélhetnek az információkkal, például hamis személyazonosságokat hozhatnak létre.
Az UNESCO éves költségvetése körülbelül 330 millió dollár, vagyis nem állítható, hogy ne lett volna elég anyagi fedezet egy biztonságos rendszer kialakítására és az adatvédelem megvalósítására. A szervezet szinte mágnesként vonzza a magasan képzett mérnököket, logisztikai és a közigazgatási szakembereket, a kutatókat, a diplomatákat, akik úgy érzik: életüket lehetőségét kaphatják meg egy az UNESCO-nál betöltött állással. Nos, a mostani botrány alighanem sokakat kiábrándít az ENSZ tagszervezetéből.
A sajtóhoz került jelentkezési adatok közül a legrégebbiek 2006-ból, a legújabbak pedig az idei évből származnak. Az információkba való betekintéshez elég, ha valaki jelentkezőnek adja ki magát és regisztrál egy e-mail címet az UNESCO honlapján. Az egész folyamat pár másodpercet vesz csak igénybe. Ezután elegendő csak megváltoztatnia a jelentkezők URL-címeinek utolsó számait és mindig előrébb léphet az adatbázisban, amely egyébként 1,1 millió adatcsomagot tartalmaz. Nem minden nyomtatvány van azonban kitöltve, vannak, akik meggondolták magukat és ezért kitöltetlenül hagyták a mezőket.
A botrányt kirobbantó személy március 21-én írt levelet az UNESCO sajtóirodájának és az illetékes részlegeinek, választ azóta sem kapott. Ezután értesítette a Der Spiegel szerkesztőit, akik szintén megkeresték a szervezetet, amely azt válaszolta az adatvédelmi felvetésekre, hogy az érintett adatbázist a múlt hét csütörtök délután óta lekapcsolták, míg később ugyanezt tették egy másik adatbázissal is.
"Amit az UNESCO csinált, az egyáltalán nem nevezhető szép dolognak. A személyes adatok ilyen felelőtlen kezelése Európában biztosan büntetendő lenne" - reagált az esetre Sascha Pfeiffer, a Sophos biztonsági cég tanácsadója. A szakember hozzátette: a szervezet ettől függetlenül nem számít az adathalászok vonzó célpontjának. Bár több tízezer név és e-mail cím hozhat némi pénzt a bűnözők konyhájára, de vannak más olyan adatbázisok, amelyek több információt tartalmaznak és a megszerzésük többet is ér.
Az elmúlt években több ezren, de becslések szerint akár százezren is jelentkezhettek jövőbeli segítőnek, illetve alkalmazottnak az UNESCO-hoz. Azonban a szervezet bárki számára elérhetővé tette a jelentkezők nevét, címét, továbbá az eddigi munkaadóikra és a fizetésükre vonatkozó információkat. Az eset különösen azért kínos, mert az érintettek között vannak diplomaták, tudósok és más szakemberek. Az embereket sokkolta a hír, az UNESCO viszont hallgatott. Az ügy azután robbant ki, hogy az egyik érintett felfedezte az adatait, de mivel a megkeresésére a szervezet nem reagált, ezért a sajtóhoz fordult.
"Az UNESCO és én akár szerelmes történet is lehetnénk" - írta az egyik jelentkező az ENSZ tagszervezetéhez írt beadványában. Az általa jósolt szerelem azonban el sem kezdődhetett, mivel kirobbant az elmúlt évek egyik legnagyobb adatkezelési botránya. Az UNESCO egy webes nyomtatványt biztosított minden olyan személy számára, aki kedvet és erőt érzett ahhoz, hogy a tudományos és kulturális világtestület munkatársa vagy segítője legyen. Az ajánlat több tízezer ember érdeklődését keltette fel, sokan úgy érezték, eljött az ő idejük és jó dolgokat tehetnek a világért. Minden nyomtatványban szerepelt a jelentkezők neve és címe mellett a mobiltelefonszámuk, az e-mail címük, illetve a nyelvtudásukra, az előző munkahelyeikre, a képzettségükre és a fizetésükre vonatkozó információk is. Mindez egy igazi kincsesbánya lehet a kiberbűnözők számára, akik az adatok segítségével bármikor visszaélhetnek az információkkal, például hamis személyazonosságokat hozhatnak létre.
Az UNESCO éves költségvetése körülbelül 330 millió dollár, vagyis nem állítható, hogy ne lett volna elég anyagi fedezet egy biztonságos rendszer kialakítására és az adatvédelem megvalósítására. A szervezet szinte mágnesként vonzza a magasan képzett mérnököket, logisztikai és a közigazgatási szakembereket, a kutatókat, a diplomatákat, akik úgy érzik: életüket lehetőségét kaphatják meg egy az UNESCO-nál betöltött állással. Nos, a mostani botrány alighanem sokakat kiábrándít az ENSZ tagszervezetéből.
A sajtóhoz került jelentkezési adatok közül a legrégebbiek 2006-ból, a legújabbak pedig az idei évből származnak. Az információkba való betekintéshez elég, ha valaki jelentkezőnek adja ki magát és regisztrál egy e-mail címet az UNESCO honlapján. Az egész folyamat pár másodpercet vesz csak igénybe. Ezután elegendő csak megváltoztatnia a jelentkezők URL-címeinek utolsó számait és mindig előrébb léphet az adatbázisban, amely egyébként 1,1 millió adatcsomagot tartalmaz. Nem minden nyomtatvány van azonban kitöltve, vannak, akik meggondolták magukat és ezért kitöltetlenül hagyták a mezőket.
A botrányt kirobbantó személy március 21-én írt levelet az UNESCO sajtóirodájának és az illetékes részlegeinek, választ azóta sem kapott. Ezután értesítette a Der Spiegel szerkesztőit, akik szintén megkeresték a szervezetet, amely azt válaszolta az adatvédelmi felvetésekre, hogy az érintett adatbázist a múlt hét csütörtök délután óta lekapcsolták, míg később ugyanezt tették egy másik adatbázissal is.
"Amit az UNESCO csinált, az egyáltalán nem nevezhető szép dolognak. A személyes adatok ilyen felelőtlen kezelése Európában biztosan büntetendő lenne" - reagált az esetre Sascha Pfeiffer, a Sophos biztonsági cég tanácsadója. A szakember hozzátette: a szervezet ettől függetlenül nem számít az adathalászok vonzó célpontjának. Bár több tízezer név és e-mail cím hozhat némi pénzt a bűnözők konyhájára, de vannak más olyan adatbázisok, amelyek több információt tartalmaznak és a megszerzésük többet is ér.