• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:474

資安人員發現 AIESEC 有近四百萬名實習申請人，其個資儲存在未以密碼保護的伺服器上。

自稱是全球最大由青年維運的非營利組織，分支單位跨 126 個國家，會員多達十萬人的「國際經濟學商會學生會」（ AIESEC），日前遭資安研究人員發現存有嚴重的資安疏失。

獨立資安研究員 Bob Diachenko 在本月 11 日發現 AIESEC 透過 Elasticsearch 資料庫儲存的實習生申請表單資料，儲存在未以密碼保護的伺服器上。

資料庫表單的欄位，包含實習申請者的姓名、性別、生日、申請原因等資料；如申請未通過，其日期與時間戳記也會記錄在資料庫中。

AIESEC 表示這個資安疏失在由 Diachenko 揭露前二十天，就已經處在未保護狀態下，可能有四十人、約五十筆資料遭不當存取；目前該問題已經修正。

由於 AIESEC 的伺服器位在歐盟境內，而非營利組織並未排除在 GDPR 的管轄之外，因此罰金可能高達兩千萬歐元，或其全球年營收的 4%。

參考連結：

http://securitydiscovery.com/aiesec-data-breach/
https://blog.aiesec.org/statement-of-the-potential-security-incident-on-aiesec-platform/
https://techcrunch.com/2019/01/21/aiesec-data-leak/