UN-Welternaehrungsprogramm: Datenleck legt Daten von 600.000 Gaza-Haushalten offen
Das Welternaehrungsprogramm hat ein Datenleck in seiner Selbstregistrierungs-Anwendung fuer Palaestina bestaetigt. Offengelegt wurden Namen, ID-Nummern, Telefonnummern und Standortdaten von rund 600.000 Haushalten in Gaza. WFP entdeckte den Vorfall am 14. Mai 2026 und ging am 31. Mai an die Oeffentlichkeit.
VaultTools · 8. Juni 2026
Inhaltsverzeichnis
- Was geschah
- Was offengelegt wurde
- Wie es passierte
- Der Zeitablauf der Offenlegung
- Warum das fuer browserbasierte Datei-Tools wichtig ist
- Quellen
Was geschah
Das Welternaehrungsprogramm der Vereinten Nationen (WFP) hat ein Datenleck bestaetigt, das seine Selbstregistrierungs-Anwendung (Self-Registration Application, SRA) betrifft, also das System, ueber das Menschen in Gaza humanitaere Hilfe beantragen. Laut BleepingComputer legte das Leck personenbezogene Daten von “rund 600.000 palaestinensischen Haushalten in Gaza” offen.
WFP ist die groesste humanitaere Organisation der Welt. Wie The Register berichtete, unterstuetzt die Behoerde “1,6 Millionen Palaestinenser pro Monat”, also etwa 77 Prozent der Bevoelkerung Gazas, mitten in einem anhaltenden Konflikt und einer Hungerkrise. Das Leck traf genau die Bevoelkerung, die die Folgen einer Identitaetsoffenlegung am wenigsten verkraften kann.
WFP bestaetigte den Vorfall am Wochenende des 31. Mai oeffentlich und veroeffentlichte ueber Telegram einen Hinweis, der von “einem Sicherheitsvorfall” in der Selbstregistrierungs-Anwendung sprach.
Was offengelegt wurde
Die betroffenen Datensaetze waren keine anonymen Statistiken. Laut UpGuard und BleepingComputer umfassten die offengelegten Felder:
- Namen
- ID-Nummern
- Telefonnummern
- Standortinformationen (aus den Registrierungsdaten bis auf Nachbarschaftsebene)
Diese Kombination reicht aus, um Hilfeempfaenger zu lokalisieren, zu kontaktieren und sich als sie auszugeben. UpGuard stufte den Vorfall als Datenleck mit hohem Schweregrad ein. WFP selbst warnte die Beguenstigten, “vorsichtig gegenueber jedem zu sein, der vorgibt, das Welternaehrungsprogramm zu vertreten und Informationen oder Geld verlangt”, ein Eingestaendnis, dass die geleakten Kontakt- und Standortdaten ein unmittelbares Betrugs- und Zielrisiko schaffen.
Wie es passierte
Das Leck geht auf die Selbstregistrierungs-Anwendung zurueck, eine ans Internet angebundene Plattform, die die Identitaetsdaten hunderttausender Haushalte in einem einzigen System sammelte und speicherte. WFP entdeckte unbefugten Zugriff auf die Anwendung und setzte die Plattform spaeter aus, um Sicherheitsverbesserungen vorzunehmen.
The New Humanitarian berichtete ein Detail, das das Bild schaerft: Ein anonymer unabhaengiger Experte hatte das Palaestina-Team von WFP rund zwei Tage vor der Entdeckung des Lecks auf Schwachstellen in der SRA hingewiesen. Die Warnung deutet laut diesem Bericht darauf hin, dass die Sicherheitsluecken in der Plattform bereits bestanden, bevor der Eingriff bemerkt wurde.
Kein Angreifer hat die Verantwortung uebernommen, und die Untersuchung von WFP zu dem Vorfall dauert an.
Der Zeitablauf der Offenlegung
- 14. Mai 2026: WFP entdeckt das Leck der Selbstregistrierungs-Anwendung, laut The New Humanitarian und UpGuard.
- 31. Mai 2026: WFP legt “einen Sicherheitsvorfall” oeffentlich ueber Telegram offen, etwa 17 Tage nach der Entdeckung.
- 1. bis 2. Juni 2026: Berichte von UpGuard, The Register und BleepingComputer beschreiben das Ausmass, und WFP gibt ein Plattform-Statusupdate heraus.
WFP teilte den Beguenstigten mit, dass die Hilfe weiterlaufe und dass “Sie Ihre Informationen nicht aktualisieren, loeschen oder neu registrieren muessen”. Die Beruhigung ist in einem Punkt ehrlich: Sobald die Daten kopiert waren, konnten die betroffenen Haushalte nichts mehr tun, um sie zurueckzuholen.
Warum das fuer browserbasierte Datei-Tools wichtig ist
Die Lehre hier ist nicht auf humanitaere Hilfe beschraenkt. Es ist das strukturelle Risiko, das sich durch nahezu jedes Datenleck zieht: Sensible personenbezogene Daten wurden gesammelt, hochgeladen und auf einem ans Internet angebundenen Server zentralisiert, und eine einzige Kompromittierung legte sie alle auf einmal offen. Die 600.000 Haushalte haben nichts falsch gemacht. Ihre Daten sind geleakt, weil sie an einem Ort lagen, den jemand anderes kontrollierte.
VaultTools baut auf der gegenteiligen Annahme auf. Jedes Datei-Tool hier laeuft clientseitig, in Ihrem Browser, kompiliert zu WebAssembly. Wenn Sie ein PDF komprimieren, EXIF-Daten aus einem Foto entfernen oder ein Dokument konvertieren, verlassen die Bytes nie Ihr Geraet. Es gibt keinen Upload, keine serverseitige Kopie und keinen zentralen Speicher, der spaeter falsch konfiguriert, gehackt oder exfiltriert werden kann.
Eine Datei, die das Geraet nie verlaesst, kann nicht in einem offenen Bucket oder einer gehackten Registrierungsdatenbank liegen. Daten zu zentralisieren ist bequem, aber jede Kopie, die Sie einem fremden Server uebergeben, ist eine Kopie, die Sie nicht mehr schuetzen koennen. Der zuverlaessigste Weg, ein Dokument privat zu halten, ist, es gar nicht erst hochzuladen.
Quellen
- World Food Programme breach exposes data of 600k vulnerable Gazan families (The Register, 5. Juni 2026)
- UN food agency discloses breach affecting 600,000 Gaza households (BleepingComputer, Juni 2026)
- World Food Programme data breach exposes sensitive data of 600,000 households (UpGuard, 2. Juni 2026)
- Data of 600,000 Gaza households exposed in WFP cyber-attack (The New Humanitarian, 2. Juni 2026)
- UN food agency investigates breach exposing data of Gaza aid recipients (The Record, Juni 2026)