Ошибка в настройке Elasticsearch открыла 4 млн персональных записей

AIESEC, называющая себя крупнейшей в мире некоммерческой молодежной организацией, оставила на открытом сервере без защиты более четырех миллионов заявок на интернатуру, содержащих конфиденциальные и персональные сведения.

Об этом в блоге SecurityDiscovery сообщил независимый эксперт безопасности Владимир Дьяченко, обнаруживший незащищенную базу данных Elasticsearch 11 января. До этого база уже была доступна в Сети почти месяц.

Записи в базе данных включают имя заявителя, пол, дату рождения, причины, по которым он претендует на интернатуру, а также дату, когда заявка была отклонена.

AIESEC насчитывает более 100 тыс. членов в 126 странах. Официальные представители организации сообщили, что указанная база данных была непреднамеренно оставлена открытой для общего доступа сразу после Рождества – за 20 дней до того, как об этом узнал Дьяченко. Причиной послужили ведущиеся работы по совершенствованию инфраструктуры.

Защита была восстановлена сразу же, после того как эксперт в частном порядке оповестил AIESEC о проблеме. В результате инцидента, как заявляет глобальный вице-президент AEISEC, Лорин Сталь (Laurin Stahl), могли пострадать не более 40 пользователей. Их записи фигурировали в результатах наиболее частых запросов по всем индексам БД с неизвестных IP-адресов. Все они информированы о произошедшем.

Недавно организация переместила свой головной офис в Канаду, но вся ее инфраструктура все еще находится в Европе. Статус неприбыльного предприятия не освобождает AIESEC от ответственности за несоблюдение нового Общего регламента защиты информации ЕС (GDPR) и штрафа размером до 20 млн евро.