O processo de adoção é, por natureza, sensível, envolvendo informações profundamente pessoais sobre as crianças, os pais biológicos, os pais adotivos e outros cuidadores. Quando Jeremiah Fowler, um caçador de violações de dados e pesquisador de segurança de longa data, encontrou um banco de dados publicamente acessível online no final de junho que parecia conter informações relacionadas à adoção, ele ficou instantaneamente preocupado.
Fowler correu para identificar o dono do banco de dados, que concluiu ser o Gladney Center, um centro de adoção sem fins lucrativos com sede no Texas. Ele tentou notificar a organização sobre os dados expostos em 25 de junho, mas não obteve resposta. Tentou novamente em 26 de junho e, em poucas horas, o banco de dados foi silenciosamente protegido – esperançosamente antes que mais alguém pudesse acessá-lo.
Bancos de dados mal configurados são comuns online, mesmo após anos de esforços para conscientizar sobre o problema, tornando as informações acessíveis a quem as encontra. Fowler ficou particularmente alarmado ao ver dados relacionados à adoção, pois o banco incluía detalhes como as identidades dos pais biológicos de algumas crianças, dados sobre o estado de saúde mental e física de indivíduos, informações sobre interações com os Serviços de Proteção à Criança e até registros referentes a ordens judiciais. O banco de dados também continha informações pessoais mais típicas, como nomes, endereços, números de telefone, endereços de e-mail e identificadores únicos atribuídos aos casos das crianças. Fowler conseguiu rastrear o banco de dados até o Gladney, pois também continha informações sobre alguns dos funcionários da organização.
“Esta é a primeira vez em toda a minha pesquisa que vejo dados de adoção, e se destacou porque muitas dessas crianças são muito vulneráveis”, disse Fowler à WIRED. “Acredito que esses dados foram expostos durante a transferência para um sistema diferente e que ficaram disponíveis por alguns dias antes que eu o encontrasse. Então, eu vou dormir à noite esperando ter chegado a ele antes que os vilões o fizessem.”
Fowler diz que os dados pareciam ser de um sistema de gerenciamento de relacionamento com o cliente, ou CRM, que é usado para organizar dados de clientes em empresas e outras organizações. O banco continha mais de 1,1 milhão de registros e tinha 2,49 GB.
“O Gladney Center para Adoção leva a segurança a sério. Sempre trabalhamos com a ajuda de especialistas externos em tecnologia da informação para realizar uma investigação detalhada sobre qualquer incidente. A integridade dos dados e as operações são nossa prioridade máxima”, escreveu a diretora de operações, Lisa Schuessler, em um comunicado. “Com qualquer incidente, trabalhamos com as autoridades e cumprimos as leis e regulamentos aplicáveis e, no caso de determinação de informações sensíveis em nossa posse sendo impactadas, notificamos todos os indivíduos afetados.”
Ao ser questionada se isso deveria ser considerado como confirmação de que o Gladney protegeu o banco de dados exposto encontrado por Fowler e está notificando os indivíduos cujos dados foram incluídos, Schuessler referiu-se à resposta inicial do Gladney. Essa declaração também observou que o Gladney está “constantemente adotando medidas adicionais para fortalecer e reforçar ainda mais nossos sistemas para garantir que nossas redes e as informações confiadas a nós estejam seguras.”
