Ogromny wyciek danych w agencji adopcyjnej w Teksasie ujawnił 1,1 miliona rekordów

„Przeszukując sieć w poszukiwaniu zagrożonych baz danych, badacz ds. cyberbezpieczeństwa Jeremiah Fowler odkrył ogromny zbiór niezabezpieczonych rekordów powiązanych z Centrum Adopcyjnym Gladney, pozostawionych w sieci bez hasła, bez szyfrowania i dostępnych dla każdego”.

Baza danych, licząca 2,49 gigabajta i zawierająca ponad 1,1 miliona rekordów, zawierała głęboko poufne informacje o dzieciach, rodzicach adopcyjnych, rodzinach biologicznych i personelu. Wszystko, od imion i nazwisk, przez dane kontaktowe, po notatki dotyczące przypadków i prywatne oceny, było dostępne dla każdego, kto miał połączenie z internetem, a zwłaszcza dla tych, którzy potrafili znaleźć narażone serwery w chmurze – coś, z czym cyberprzestępcy są bardzo dobrze zaznajomieni .

Fowler szybko wysłał stosowne zawiadomienie do organizacji, którą uważano za źródło. Dane zostały zabezpieczone następnego dnia, ale wciąż nie wiadomo, jak długo były one dostępne i czy ktokolwiek miał do nich dostęp, zanim zostały usunięte z sieci.

To, co sprawiło, że wyciek danych był szczególnie niepokojący, to nie tylko ich ilość, ale także charakter. Dane najprawdopodobniej pochodziły z platformy CRM (Customer Relationship Management) wykorzystywanej do zarządzania sprawami i komunikacją w całej organizacji.

W folderach oznaczonych jako „kontakty”, „wnioski” i „ojcowie biologiczni” Fowler znalazł szczegółowe zapisy opisujące historie osobiste wnioskodawców, powody odmów adopcji, pochodzenie rodzinne, a nawet wzmianki o zażywaniu substancji psychoaktywnych lub kwestiach prawnych. Chociaż nie było pełnych akt sprawy, każdy wpis zawierał wystarczająco dużo szczegółów, aby stać się celem socjotechniki lub oszustwa .

Według raportu Fowlera udostępnionego Hackread.com, jednym z najbardziej wrażliwych obszarów było 284 000 rekordów metadanych wiadomości e-mail. Chociaż pełna treść wiadomości e-mail nie została ujawniona, w tematach wiadomości czasami znajdowały się nazwiska lub odniesienia, które mogły zdradzić kontekst. Niektóre rekordy zawierały informacje o kontaktach między agencją a dostawcami usług opieki zdrowotnej lub socjalnych, co dodatkowo zwiększało potencjalne ryzyko naruszenia prywatności, gdyby dane te dostały się w niepowołane ręce.

Zapisy obejmowały lata historii operacyjnej, ale dowody sugerowały, że sama baza danych została utworzona lub wyeksportowana dopiero niedawno. Nie jest jasne, czy system był hostowany wewnętrznie, czy przez zewnętrznego dostawcę. Fowler nigdy nie otrzymał odpowiedzi na swoje zgłoszenie, więc nie ma jasności co do pełnego zakresu ujawnienia ani tego, czy przeprowadzono jakąkolwiek analizę kryminalistyczną.

Z technicznego punktu widzenia rekordy stanowiły mieszankę zwykłego tekstu i identyfikatorów UUID (Universally Unique Identifiers), które są zazwyczaj używane w systemach CRM do łączenia danych. Identyfikatory te mogą wydawać się skomplikowane, ale nie służą do ochrony poufnych treści. Bez szyfrowania nie zapewniają one żadnej realnej ochrony w przypadku dostępu do nich przez nieautoryzowane osoby.

Fowler podkreślił, że szyfrowanie danych, zwłaszcza dotyczących dzieci lub treści związanych ze zdrowiem, powinno być standardem bazowym. Zasugerował również, aby organizacje ograniczyły wewnętrzny dostęp do danych wrażliwych, regularnie audytowały swoje systemy i szkoliły personel w zakresie podstawowych zasad bezpieczeństwa cybernetycznego. Starsze, nieużywane dane powinny być archiwizowane lub usuwane, aby ograniczyć potencjalne konsekwencje w przypadku wycieku.

Raport Fowlera nie oskarżył Gladney ani podmiotów z nią powiązanych o popełnienie przestępstwa, ani nie stwierdził, że dane zostały wykorzystane niezgodnie z przeznaczeniem. Wskazał jednak, że ujawnione dane mogłyby teoretycznie umożliwić podszywanie się pod kogoś, oszustwa phishingowe, a nawet szantaż. Rodziny zaangażowane w adopcję często doświadczają stresujących i osobistych doświadczeń, a takie wycieki danych zwiększają ich podatność na ataki.

W tym przypadku dane nie wydawały się być skradzione ani udostępnione. Fowler wykonał jedynie minimalną liczbę zrzutów ekranu w celu weryfikacji i nie pobrał ani nie zachował żadnej treści. Jego raporty opierały się na etyce, przejrzystości i zaangażowaniu w poprawę bezpieczeństwa danych w sektorach przetwarzających dane osobowe.