Bewerber-Unterlagen für Jeden einsehbar im Netz. Das geht nicht.? Doch… das geht…
Die UN-Organisation für Bildung, Wissenschaft und Kultur hat über Jahre hinweg die Unterlagen von Bewerbern ins Internet gestellt. Informationen über den Bildungsweg, Sprachkenntnisse, bisherige Arbeitgeber und zum Teil über Jahresgehälter waren komplett für jeden im Netz einsehbar. Eine UNESCO-Sprecherin bestätigte den Vorfall: “Ja, es gab ein echtes Problem.” Die Sicherheitslücken seien nach ihren Informationen aber mittlerweile geschlossen.
Nach Recherchen von “Spiegel Online” waren zwei Datenbanken betroffen: eine mit Bewerbungen um Praktikumsplätze, die andere für reguläre Posten innerhalb der Organisation. Die stichprobenweise eingesehenen Bewerbungen stammten aus den Jahren 2006 bis 2011.
Den Informationen zufolge waren Zehntausende, vielleicht aber auch Hunderttausende Bewerbungsunterlagen für Dritte einsehbar. Und damit teilweise brisante Informationen: Aus den Bewerbungen erfahre man zum Beispiel exakt, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdiene und welche Angestellten der Weltbank zur UNESCO wechseln wollen. Die Bewerber kämen aus aller Welt. Unter ihnen seien Diplomaten und Wissenschaftler.
Die Unterlagen von Praktika-Bewerbern waren demnach völlig ungeschützt über die Eingabe einer bestimmten Internetadresse abrufbar. Um zu einem anderen Bewerber zu springen, soll es gereicht haben, die Kennziffer in der URL zu verändern.
Die Bewerbungen für reguläre UNESCO-Stellen waren einsehbar, wenn man sich als Bewerber bei der Unesco registriert hatte – dazu reichte eine Mail-Adresse. Zu anderen Bewerbern sei man wiederum über die Veränderung der Kennziffer in der Adresszeile gekommen.
Den Recherchen zufolge reagierte die UNESCO monatelang nicht auf die Hinweise eines Bewerbers, dem die Sicherheitslücke aufgefallen ist. Auf eine schriftliche Mitteilung habe die Organisation nicht geantwortet. Die UNESCO wollte sich dazu nicht äußern. Die betroffenen Datenbanken sollen inzwischen offline sein.
