
自稱是全球最大由青年維運的非營利組織,分支單位跨 126 個國家,會員多達十萬人的「國際經濟學商會學生會」(AIESEC),日前遭資安研究人員發現存有嚴重的資安疏失。
獨立資安研究員 Bob Diachenko在本月11日發現AIESEC透過Elasticsearch資料庫儲存的實習生申請表單,存於未以密碼保護的伺服器上。
資料庫表單的欄位,包含實習申請者的姓名、性別、生日、申請原因等資料;如申請未通過,其日期與時間戳記也會記錄在資料庫中。
AIESEC 表示這個資安疏失在由 Diachenko 揭露前二十天,就已經處在未保護狀態下,可能有四十人、約五十筆資料遭不當存取;目前該問題已經修正。
由於 AIESEC 的伺服器位在歐盟境內,而非營利組織並未排除在 GDPR 的管轄之外,因此罰金可能高達兩千萬歐元,或其全球年營收的 4%。
資料來源: