本周事件：泄漏泄露了2019年以来的联合国数据泄露

去年7月，黑客闯入了数十台联合国服务器，联合国官员对此保持沉默。 没有人可以免受网络威胁，甚至联合国也没有。关于新数据泄露的故事似乎经常出现，以至于可以成为背景噪音，但这不是为什么没人听说过2019年联合国黑客事件的原因。该实体没有通知媒体，执法部门甚至所有员工。 在最近的一个故事中，新人道主义者透露，它曾遇到过一份联合国机密报告，详细描述了这一事件。当新闻机构发现文件时，他们正在研究网络安全，并说没有人与之交谈。 袭击针对的是三个联合国办事处，其中两个在日内瓦，一个在维也纳，共有4000名工作人员。联合国日内瓦办事处遭受的损失最大，其中33台服务器受损。黑客还进入了其他两个位置之间的至少七个服务器。 黑客能够利用Microsoft SharePoint中的漏洞窃取大约400 GB的数据。微软已于2019年3月发布了针对此漏洞的补丁程序，但办事处的IT人员并未及时更新该软件。到7月，黑客利用该软件闯入位于维也纳办公室的服务器，从而可以访问系统的其余部分，从而使他们的软件仍然容易受到攻击。 请参阅相关内容：一周的事件：配置错误的服务器导致2.5亿微软客户支持记录已公开相关内容：相关事件：一周的事件：配置错误的服务器导致2.5亿微软客户支持记录已暴露 受影响的服务器保存了各种信息，例如员工的个人数据。虽然目前尚不清楚该漏洞的全部范围，但是失窃的数据包括可能列出员工记录，健康保险系统和其他资源的目录。官员们没有告知潜在受影响的员工违规行为，但确实要求他们更改密码。 目标办公室在包括叙利亚和谈在内的各种政治行动中开展工作，但是联合国表示，黑客没有访问任何敏感数据。但是袭击的性质引发了人们的疑问，即这是否是政治间谍活动。 如果黑客能够渗透到联合国，那么网络犯罪甚至会对最大的公司构成威胁。这些办公室的IT人员将SharePoint更新推迟了仅几个月，但是此窗口足够大，可供黑客利用该漏洞。不能肯定地说，但是尽快更新可能会阻止该漏洞。 希望避免类似威胁的企业可以从频繁的更新中受益。考虑到网络犯罪的相关性和风险，公司应不断重新评估其网络安全措施。此事件表明数据泄露不仅会影响业务文档，还会影响员工的个人信息。 参见相关：CISO的生命中的一个星期：亨利·M·杰克逊基金会副总裁兼首席信息官Rizwan Jan参见相关：CISO生命中的一个星期：亨利·M·杰克逊基金会副总裁兼首席信息官Rizwan Jan 法律将要求大多数组织披露此规模的违规行为，但这不适用于联合国。联合国受益于外交豁免权，这意味着它们不受特定国家法律的约束，例如欧盟的《通用数据保护条例》（GDPR）。 GDPR要求组织在数据泄露方面保持透明，但从此事件中可以看出，联合国是不受影响的。 联合国发言人史蒂芬·杜哈里克（StéphaneDujarric）在回应TNH时说，由于无法确定其确切的性质或范围，这些办公室决定不披露该违规行为。但是，表面上的掩盖性仍然使一些人质疑组织的完整性。联合国本身就数字时代透明的重要性发表了声明。 这不是联合国第一次对网络攻击保持沉默。联合国的一个分支机构国际民用航空组织（International Civil Aviation Organization）在2016年遭受了一次大规模的数据泄露事件，但也未披露。 对联合国的攻击代表了所有企业的日益关切的问题。黑客变得越来越老练，并迅速采取措施来应对漏洞，因此网络安全性应该强大并且可以不断更新。对联合国秘密的强烈反对也强调了透明度的重要性。 尽管最近一次袭击的破坏程度尚不清楚，但看来联合国已经将一切控制在了手中。联合国并没有违反任何保持沉默的法律，尽管某些行为可能会令其感到困扰。即使没有法律影响的威胁，组织最好还是至少要向可能受到此事件影响的人员披露该事件。 请参阅相关内容：周保险柜的网络安全中心突发事件请参阅相关内容：周保险柜的网络安全中心突发事件