青年经纪机构AIESEC公开了400多万实习生申请

AIESEC是一家非营利组织，自称是“世界上最大的青年组织”，它在没有密码的服务器上向个人和敏感信息公开了400多万个实习生应用程序。

独立安全研究员Bob Diachenko在数据库首次曝光后不到一个月的时间内发现了一个未受保护的Elasticsearch数据库，该数据库包含1月11日的应用程序。

该数据库包含“机会申请”，其中包含申请人的姓名，性别，出生日期以及该人申请实习的原因，根据Diachenko关于SecurityDiscovery的博客文章，该文章仅与TechCrunch共享。该数据库还包含拒绝申请的日期和时间。

AIESEC在126个国家拥有超过100,000名会员，他们表示，在Diachenko通知前20天 - 就在圣诞节前 - 无意中暴露了这个数据库，这是“基础设施改善项目”的一部分。

该数据库是在Diachenko私人披露的同一天获得的。

AEISEC全球平台副总裁Laurin Stahl证实了TechCrunch的曝光率，但声称不超过40名用户受到影响。

斯塔尔表示，在该机构发现没有大量来自不熟悉的IP地址的数据请求之后，该机构已经“通知了那些最有可能成为频繁搜索结果的用户”的数据库 - 大约40个人。

“鉴于安全研究人员发现了这个集群，我们告知那些最有可能成为集群所有指标频繁搜索结果的用户，”斯塔尔说。 “我们周末进行的调查显示，在这些结果中，影响40名用户的数据记录不超过50条。”

斯塔尔表示，该机构在暴露后三天通知荷兰数据保护机构。

“我们的平台和整个基础设施仍然在欧盟托管，”他说，尽管最近搬迁到加拿大的总部。

与公司和组织一样，非营利组织也不能免于收集欧盟公民数据的欧洲规则，并且可能面临严重违反GDPR的全球年度收入高达2000万欧元或4％（以较高者为准）的罚款。 。

这是Elasticsearch实例未受保护的最新实例。

去年发现并保护了一个庞大的数据库，泄露了数百万的实时短信短信数据，这是一种流行的按摩服务，以及来自暴露的表情符号应用程序的500万用户的电话联系人列表。