AIESEC, una organización sin fines de lucro que se autoproclama como la "organización dirigida por jóvenes más grande del mundo", expuso más de cuatro millones de aplicaciones internas con información personal y confidencial en un servidor sin contraseña.
Bob Diachenko, un investigador de seguridad independiente, encontró una base de datos de Elasticsearch sin protección que contenía las aplicaciones el 11 de enero, poco menos de un mes después de la primera exposición de la base de datos.
La base de datos contenía las "solicitudes de oportunidad" que contenían el nombre, el sexo, la fecha de nacimiento y las razones por las que la persona solicitaba la pasantía, según la publicación del blog de Diachenko en SecurityDiscovery, que se comparte exclusivamente con TechCrunch. La base de datos también contiene la fecha y la hora en que se rechazó una solicitud.
AIESEC, que tiene más de 100,000 miembros en 126 países, dijo que la base de datos se expuso inadvertidamente 20 días antes de la notificación de Diachenko, justo antes de Navidad, como parte de un "proyecto de mejora de infraestructura".
La base de datos se aseguró el mismo día de la divulgación privada de Diachenko.
Laurin Stahl, vicepresidente mundial de plataformas de AEISEC, confirmó la exposición a TechCrunch, pero afirmó que no más de 40 usuarios se vieron afectados.
Stahl dijo que la agencia había "informado a los usuarios que probablemente estarían en la cima de los resultados de búsqueda frecuentes" en la base de datos – unas 40 personas, dijo – después de que la agencia no encontró grandes solicitudes de datos de direcciones IP desconocidas.
"Dado el hecho de que el investigador de seguridad encontró el clúster, informamos a los usuarios que probablemente estarían en la cima de los resultados de búsqueda frecuentes en todos los índices del clúster", dijo Stahl. "La investigación que hicimos durante el fin de semana mostró que no había más de 50 registros de datos que afectan a 40 usuarios en estos resultados".
Stahl dijo que la agencia informó a las autoridades holandesas de protección de datos sobre la exposición tres días después de la exposición.
"Nuestra plataforma y toda la infraestructura aún están alojadas en la UE", dijo, a pesar de su reciente traslado a la sede en Canadia.
Al igual que las empresas y organizaciones, las organizaciones sin fines de lucro no están exentas de las normas europeas donde se recopilan datos de ciudadanos de la UE, y pueden enfrentar una multa de hasta 20 millones de euros o el cuatro por ciento, lo que sea mayor, de sus ingresos anuales globales por violaciones graves de GDPR .
Es la última instancia de una instancia de Elasticsearch que está desprotegida.
El año pasado se encontró y se aseguró una base de datos masiva que contiene millones de datos de mensajes de texto SMS en tiempo real, un popular servicio de masajes y listas de contactos telefónicos en cinco millones de usuarios de una aplicación de emoji expuesta.
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…