O processo de adoção é inherentemente sensível, envolvendo informações profundamente pessoais sobre crianças, pais biológicos, pais adotivos e outros cuidadores. Portanto, quando o pesquisador de caça a violações de dados e segurança Jeremiah Fowler se deparou com um banco de dados publicamente acessível online no final de junho que parecia conter informações relacionadas à adoção, ele ficou instantaneamente preocupado.
Fowler correu para identificar o proprietário do banco de dados, que ele concluiu ser o centro sem fins lucrativos de adoção Gladney Center for Adoption, em grande parte baseado no Texas. Ele então trabalhou para notificar a organização sobre os dados expostos em 25 de junho, mas não recebeu resposta. Ele tentou notificar novamente em 26 de junho e, em questão de horas, o banco de dados foi silenciosamente protegido – esperançosamente antes que mais alguém pudesse acessá-lo.
Bancos de dados mal configurados são comuns online, mesmo após anos de esforços para conscientizar sobre o problema, tornando as informações acessíveis a quem as encontrar. Fowler ficou particularmente alarmado ao ver dados relacionados à adoção, pois o tesouro incluía detalhes como a identidade dos pais biológicos de algumas crianças, dados sobre o estado médico e de saúde mental de indivíduos, informações sobre interações com os Serviços de Proteção à Criança e até registros referentes a ordens judiciais. O banco de dados também continha informações mais típicas de identificação pessoal, como nomes, endereços, números de telefone, endereços de e-mail e identificadores únicos atribuídos aos casos das crianças. Fowler conseguiu rastrear o banco de dados até Gladney, pois também continha informações sobre alguns funcionários da organização.
“Esta é a primeira vez em toda a minha pesquisa que vejo dados de adoção, e se destacou porque muitas dessas crianças são muito vulneráveis”, diz Fowler à WIRED. “Acredito que esses dados foram expostos durante a mudança para um sistema diferente e que estiveram disponíveis por alguns dias antes que eu os encontrasse. Então eu vou dormir à noite esperando ter chegado a eles antes que os maus os fizessem.”
Fowler diz que os dados pareciam ser de um sistema de gerenciamento de relacionamento com o cliente, ou CRM, que é usado para organizar dados de clientes em empresas e outras organizações. O tesouro continha mais de 1,1 milhão de registros e tinha 2,49 GB.
“O Centro Gladney para Adoção leva a segurança a sério. Sempre trabalhamos com a assistência de especialistas externos em tecnologia da informação para conduzir uma investigação detalhada sobre qualquer incidente. A integridade dos dados e operações são nossa principal prioridade”, escreveu a diretora de operações Lisa Schuessler em um comunicado. “Com qualquer incidente, trabalhamos com as autoridades e cumprimos as leis e regulamentos aplicáveis, e no caso de qualquer determinação de informações sensíveis em nossa posse sendo impactadas, notificamos todas as pessoas afetadas.”
Quando perguntada se isso deve ser considerado como confirmação de que o Gladney protegeu o banco de dados exposto encontrado por Fowler e está notificando os indivíduos cujos dados estavam incluídos, Schuessler encaminhou a WIRED para a resposta inicial de Gladney. Essa declaração também observou que o Gladney está “constantemente tomando medidas adicionais para fortalecer e reforçar ainda mais nossos sistemas para garantir que nossas redes e as informações confiadas a nós estejam seguras”.
