Массовая утечка данных в Техасском агентстве по усыновлению: раскрыто 1,1 миллиона записей

«Сканируя Интернет на предмет уязвимых баз данных, исследователь кибербезопасности Джеремайя Фаулер обнаружил огромный набор незащищенных записей, связанных с Центром усыновления Глэдни, которые были размещены в сети без пароля, без шифрования и доступны любому».

База данных объёмом 2,49 гигабайта, в которой хранилось более 1,1 миллиона записей, включала в себя крайне конфиденциальную информацию о детях, приёмных родителях, биологических семьях и сотрудниках организации. Вся информация, от имён и контактных данных до материалов дел и личных оценок, была доступна любому, у кого был доступ к интернету, особенно тем, кто умеет находить уязвимые облачные серверы, с которыми киберпреступники хорошо знакомы .

Фаулер быстро отправил ответственное уведомление о раскрытии информации организации, предположительно являющейся источником. Данные были защищены на следующий день, но остаются вопросы о том, как долго они были доступны и получал ли кто-либо ещё к ним доступ до того, как они были удалены.

Особую тревогу в этой утечке данных вызывал не только объём, но и характер данных. Записи, по всей видимости, были получены из CRM-платформы (системы управления взаимоотношениями с клиентами), используемой для управления делами и коммуникациями в рамках всей организации.

В папках с пометками «Контакты», «Заявление» и «Биологические отцы» Фаулер обнаружил подробные записи, описывающие личные истории заявителей, причины отказов в усыновлении, семейное прошлое и даже упоминания об употреблении психоактивных веществ или юридических проблемах. Хотя полных материалов дела не было, каждая запись содержала достаточно подробностей, чтобы сделать их объектом социальной инженерии или мошенничества .

Согласно отчёту Фаулера, предоставленному Hackread.com, одной из наиболее конфиденциальных областей были 284 000 записей метаданных электронных писем. Хотя тексты писем полностью не публиковались, темы писем иногда содержали имена или ссылки, которые могли раскрыть контекст. В некоторых записях упоминалось взаимодействие между агентством и поставщиками медицинских или социальных услуг, что ещё больше усугубляло потенциальные последствия для конфиденциальности в случае попадания этих данных в чужие руки.

Записи охватывали годы работы, но данные свидетельствуют о том, что сама база данных была создана или экспортирована лишь недавно. Размещалась ли система внутри компании или у стороннего поставщика, остаётся неясным. Фаулер так и не получил ответа на своё сообщение, поэтому нет полной ясности относительно масштабов утечки и того, проводилась ли какая-либо экспертиза.

С технической точки зрения, записи представляли собой смесь обычного текста и универсальных уникальных идентификаторов (UUID), которые обычно используются в CRM-системах для связывания данных. Эти идентификаторы могут показаться сложными, но они не предназначены для защиты конфиденциальной информации. Без шифрования они не обеспечивают эффективной защиты при несанкционированном доступе.

Фаулер подчеркнул, что шифрование данных, особенно касающихся детей или информации, связанной со здоровьем, должно стать базовым стандартом. Он также предложил организациям ограничить внутренний доступ к конфиденциальным данным, регулярно проводить аудит своих систем и обучать персонал основам кибербезопасности. Старые данные, которые больше не используются, следует архивировать или удалять, чтобы минимизировать последствия в случае утечек.

В докладе Фаулера не содержалось обвинений в адрес Gladney или её филиалов в противоправных действиях и не утверждалось, что данные использовались не по назначению. Однако он отметил, что раскрытые данные гипотетически могут стать причиной попыток выдачи себя за другое лицо, фишинга или даже шантажа. Семьи, участвующие в усыновлении, часто переживают стрессовые ситуации и личные переживания, и подобные утечки информации делают их более уязвимыми.

В данном случае данные, по всей видимости, не были украдены или переданы. Фаулер сделал лишь несколько скриншотов для проверки и не скачивал и не сохранял никакой контент. В своей работе он руководствовался принципами этики, прозрачности и стремлением к повышению безопасности данных во всех секторах, работающих с персональными данными.