Une fuite massive de données dans une agence d'adoption du Texas expose 1,1 million de dossiers

« En parcourant le Web à la recherche de bases de données exposées, le chercheur en cybersécurité Jeremiah Fowler a découvert un ensemble massif de dossiers non protégés liés au Gladney Center for Adoption, laissés en ligne sans mot de passe, sans cryptage et accessibles à tous. »

La base de données, d'une capacité de 2,49 gigaoctets et contenant plus de 1,1 million d'enregistrements, contenait des informations extrêmement sensibles sur les enfants, les parents adoptifs, les familles biologiques et le personnel interne. Noms et coordonnées, notes de cas et évaluations privées étaient accessibles à toute personne disposant d'une connexion internet, notamment à ceux qui savent repérer les serveurs cloud exposés, une technique bien connue des cybercriminels.

Fowler a rapidement envoyé un avis de divulgation responsable à l'organisation présumée être la source. Les données ont été sécurisées le lendemain, mais des questions subsistent quant à la durée de leur exposition et à la possibilité que d'autres personnes y aient accédé avant leur mise hors ligne.

Ce qui rendait cette fuite de données particulièrement inquiétante n'était pas seulement le volume des données, mais leur nature. Les enregistrements semblaient provenir d'une plateforme CRM (Customer Relationship Management) utilisée pour gérer les dossiers et la communication au sein de l'organisation.

Dans des dossiers intitulés « contacts », « demandes » et « pères biologiques », Fowler a trouvé des documents détaillés décrivant l'histoire personnelle des candidats, les raisons des refus d'adoption, leurs antécédents familiaux et même des mentions de toxicomanie ou de problèmes juridiques. Bien qu'il n'y ait pas de dossiers complets, chaque entrée contenait juste assez de détails pour en faire une cible pour l'ingénierie sociale ou la fraude .

Selon le rapport de Fowler partagé avec Hackread.com, l'un des domaines les plus sensibles comprenait 284 000 enregistrements de métadonnées d'e-mails. Bien que le corps complet des e-mails n'ait pas été exposé, les objets comportaient parfois des noms ou des références susceptibles de révéler le contexte. Certains enregistrements faisaient état de contacts entre l'agence et des prestataires de soins de santé ou de services sociaux, ce qui aggravait encore les risques d'atteinte à la vie privée si ces données tombaient entre de mauvaises mains.

Les enregistrements couvraient des années d'historique opérationnel, mais les éléments suggéraient que la base de données elle-même n'avait été créée ou exportée que récemment. On ignore si le système était hébergé en interne ou par un fournisseur tiers. Fowler n'a jamais reçu de réponse à sa divulgation, ce qui laisse peu de clarté quant à l'étendue de l'exposition et à la réalisation d'une analyse forensique.

D'un point de vue technique, les enregistrements étaient un mélange de texte brut et d'UUID (identifiants uniques universels), généralement utilisés dans les systèmes CRM pour relier les données. Ces identifiants peuvent paraître complexes, mais ils ne sont pas destinés à protéger les contenus sensibles. Sans chiffrement, ils n'offrent aucune protection significative en cas d'accès par des utilisateurs non autorisés.

Fowler a souligné que le chiffrement des données, notamment celles concernant les enfants ou la santé, devrait être une norme de référence. Il a également suggéré aux organisations de limiter l'accès interne aux données sensibles, d'auditer régulièrement leurs systèmes et de former leur personnel aux règles de base de la cybersécurité. Les données anciennes et inutilisées devraient être archivées ou supprimées afin de limiter les conséquences en cas de fuite.

Le rapport de Fowler n'accuse ni Gladney ni ses filiales d'actes répréhensibles, ni n'affirme que les données ont été utilisées à mauvais escient. Il souligne toutefois que les données divulguées pourraient hypothétiquement permettre des tentatives d'usurpation d'identité, des escroqueries par hameçonnage, voire du chantage. Les familles engagées dans une adoption vivent souvent des expériences stressantes et personnelles, et de telles fuites les rendent plus vulnérables.

Dans ce cas, les données ne semblent avoir été ni volées ni partagées. Fowler s'est contenté de quelques captures d'écran pour vérification et n'a ni téléchargé ni conservé le contenu. Son reportage était guidé par l'éthique, la transparence et un engagement en faveur d'une meilleure sécurité des données dans tous les secteurs traitant des informations personnelles.