O processo de adoção é inerentemente sensível, envolvendo informações profundamente pessoais sobre crianças, pais biológicos, pais adotivos e outros cuidadores. Por isso, quando o conhecido caçador de vazamentos de dados e pesquisador de segurança Jeremiah Fowler se deparou com um banco de dados publicamente acessível on-line no final de junho, que parecia conter informações relacionadas à adoção, ele ficou instantaneamente preocupado.
Fowler correu para identificar o proprietário do banco de dados, que ele concluiu ser o Centro Gladney para Adoção, situado em grande parte no Texas. Ele então tentou notificar a organização sobre os dados expostos em 25 de junho, mas não recebeu resposta. Tentou novamente em 26 de junho e, algumas horas depois, o banco de dados foi silenciosamente seguro – esperançosamente antes que mais alguém pudesse acessá-lo.
Bancos de dados mal configurados são comuns on-line, mesmo após anos de esforço para conscientizar sobre o problema, tornando as informações acessíveis a quem as encontrar. Fowler ficou particularmente alarmado ao ver dados relacionados à adoção, porque o tesouro incluía detalhes como as identidades dos pais biológicos de algumas crianças, dados sobre estado médico e de saúde mental de indivíduos, informações sobre interações com Serviços de Proteção à Criança e até registros referentes a ordens judiciais. O banco de dados também continha informações pessoalmente identificáveis mais típicas como nomes, endereços, números de telefone, endereços de e-mail e identificadores únicos atribuídos aos casos das crianças. Fowler conseguiu rastrear o banco de dados até a Gladney, porque também continha informações sobre alguns dos funcionários da organização.
“Esta é a primeira vez em toda a minha pesquisa que vejo dados de adoção, e chamou a atenção porque muitas dessas crianças são muito vulneráveis”, disse Fowler à WIRED. “Acredito que esses dados foram expostos durante a mudança para um sistema diferente e que estiveram disponíveis por alguns dias antes de eu encontrá-los. Então eu vou dormir à noite esperando que tenha chegado antes que os indivíduos mal-intencionados o fizessem.”
Fowler diz que os dados pareciam ser de um sistema de gerenciamento de relacionamento com o cliente, ou CRM, que é usado para organizar dados de clientes em empresas e outras organizações. O tesouro continha mais de 1,1 milhão de registros e tinha 2,49 GB.
“O Centro Gladney para Adoção leva a segurança a sério. Sempre trabalhamos com a assistência de especialistas externos em tecnologia da informação para realizar uma investigação detalhada em relação a qualquer incidente. A integridade dos dados e as operações são nossa principal prioridade”, escreveu a diretora operacional Lisa Schuessler em um comunicado. “Com qualquer incidente, trabalhamos com as autoridades policiais e cumprimos as leis e regulamentos aplicáveis e, no caso de qualquer determinação de informações sensíveis em nossa posse sendo afetadas, notificamos todos os indivíduos afetados.”
Quando questionada se isso deveria ser interpretado como confirmação de que a Gladney garantiu o banco de dados exposto encontrado por Fowler e está notificando os indivíduos cujos dados foram incluídos, Schuessler encaminhou a WIRED para a resposta inicial da Gladney. Essa declaração também observou que a Gladney está “constantemente tomando medidas adicionais para fortalecer e reforçar ainda mais nossos sistemas para garantir que nossas redes e as informações confiadas a nós estejam seguras”.
