联合国儿童基金会因失误导致8000名学习网站用户的数据被泄露
联合国儿童基金会(UNICEF)向2万个邮箱发送了一封错误的电子邮件,无意中泄露了数千名使用其在线学习网站Agora的用户隐私信息。
根据相关报告,这封电子邮件是联合国儿童基金会(UNICEF)在8月26日“无意”发送的,其中包括Agora网站8253名用户的姓名、电子邮件地址、性别和专业信息。Agora项目为联合国儿童基金会的工作人员、合作伙伴和支持者合作提供的学习解决方案。
最终,将近2万名Agora用户接收到了将参加免疫课程用户的隐私数据。
联合国儿童基金会媒体负责人Najwa Mekki告诉Devex,这次数据泄露是人为失误的结果。这些用户信息被包含在内部人员提交的报告邮件中。泄露的数据还包括工作地点、主管姓名和已登记参加这些课程的用户的合同类型。
Mekki告诉Devex,在错误邮件发送后的第二天,该安全事件被发现,联合国儿童基金会立刻禁用了Agora的相关功能,不再能发送可能会泄露数据的内部报告,并禁止了电子邮件中的附件功能。联合国儿童基金会认为这应能防止事态进一步失控。
联合国儿童基金会还向其用户发送了一条信息,解释说他们可能在8月26日收到了一封电子邮件,“其中包含了我们一些用户的隐私人信息”,希望用户能永久删除这些不应看到的信息。
自去年5月欧洲《全面数据保护条例》(General data Protection Regulation, GDPR)生效以来,任何泄露数据的组织团体都面临着更大的法律风险以及更高额的罚款。
虽然这一法律促使各大公司更加警惕地保护数据,但数据泄漏仍时有发生,特别是对于那些安全资源不足的组织。
安全专家表示,联合国儿童基金会的这一事件再次凸显了组织安全的重要性,不仅要保证基础设施层面的安全,还要提高个人的安全意识。
Tripwire安全研究高级主管Lamar Bailey在给Threatpost的一封电子邮件中表示:“你可以采取业内领先的所有安全控制措施,但你无法阻止人犯错。”
从历史上看,企业在员工安全培训方面一直举步维艰,这类培训“常常被忽视,或者没有达到应有的效果。这些培训项目可能太过简单,导致大家经常不重视”。
万事达信用卡公司(Mastercard)的营销副总裁Lisa Baergen表示,没有足够的安全投资,就很可能出现严重安全问题,从而导致被攻击者入侵。
“一旦你的数据被窃取,攻击者就会以多种方式使用它,包括帐户接管和身份欺诈。你不能确定丢失的数据会以怎样的方式在网络犯罪分子手中变现。你只知道他们会用各种手段从中榨取价值。”