非營利青年組織 AIESEC 遭爆會員資料未加保護

圖片來源:https://securitydiscovery.com/aiesec-data-breach/

自稱是全球最大由青年維運的非營利組織,分支單位跨 126 個國家,會員多達十萬人的「國際經濟學商會學生會」(AIESEC),日前遭資安研究人員發現存有嚴重的資安疏失。

獨立資安研究員 Bob Diachenko在本月11日發現AIESEC透過Elasticsearch資料庫儲存的實習生申請表單,存於未以密碼保護的伺服器上。

資料庫表單的欄位,包含實習申請者的姓名、性別、生日、申請原因等資料;如申請未通過,其日期與時間戳記也會記錄在資料庫中。

AIESEC 表示這個資安疏失在由 Diachenko 揭露前二十天,就已經處在未保護狀態下,可能有四十人、約五十筆資料遭不當存取;目前該問題已經修正。

由於 AIESEC 的伺服器位在歐盟境內,而非營利組織並未排除在 GDPR 的管轄之外,因此罰金可能高達兩千萬歐元,或其全球年營收的 4%。

資料來源:

  1. http://securitydiscovery.com/aiesec-data-breach/
  2. https://blog.aiesec.org/statement-of-the-potential-security-incident-on-aiesec-platform/
  3. https://techcrunch.com/2019/01/21/aiesec-data-leak
回到頂端