O processo de adoção é, por natureza, sensível, envolvendo informações profundamente pessoais sobre crianças, pais biológicos, pais adotivos e outros cuidadores. Quando o caçador de violações de dados e pesquisador de segurança Jeremiah Fowler encontrou um banco de dados publicamente acessível online no final de junho que parecia conter informações relacionadas à adoção, ele ficou instantaneamente preocupado.
Fowler se apressou para identificar o proprietário do banco de dados, que ele concluiu ser o Centro de Adoção Gladney, uma organização sem fins lucrativos sediada principalmente no Texas. Ele então trabalhou para notificar a organização sobre os dados expostos em 25 de junho, mas não recebeu resposta. Ele tentou novamente em 26 de junho e, dentro de algumas horas, o banco de dados foi silenciosamente protegido – esperançosamente antes que mais alguém pudesse acessá-lo.
Bancos de dados mal configurados são comuns online, mesmo após anos de esforços para conscientizar sobre o problema, tornando as informações acessíveis a quem as encontra. Fowler ficou particularmente alarmado ao ver dados relacionados à adoção, pois o tesouro incluía detalhes como as identidades dos pais biológicos de algumas crianças, dados sobre o estado médico e de saúde mental de indivíduos, informações sobre interações com Serviços de Proteção à Criança e até mesmo registros referentes a ordens judiciais. O banco de dados também incluía informações mais típicas de identificação pessoal, como nomes, endereços, números de telefone, endereços de e-mail e identificadores únicos atribuídos aos casos de crianças. Fowler conseguiu rastrear o banco de dados até o Gladney, pois também continha informações sobre alguns funcionários da organização.
“Esta é a primeira vez em toda a minha pesquisa que eu vi dados de adoção, e chamou a atenção porque muitas dessas crianças são muito vulneráveis”, diz Fowler à WIRED. “Acredito que esses dados foram expostos durante a mudança para um sistema diferente e que ficaram disponíveis por alguns dias antes de eu encontrá-los. Então eu vou dormir à noite esperando ter chegado antes dos bandidos.”
Fowler diz que os dados pareciam ser de um sistema de gerenciamento de relacionamento com o cliente, ou CRM, que é usado para organizar dados de clientes em empresas e outras organizações. O tesouro continha mais de 1,1 milhão de registros e tinha 2,49 GB.
“O Centro de Adoção Gladney leva a segurança a sério. Sempre trabalhamos com a ajuda de especialistas externos em tecnologia da informação para conduzir uma investigação detalhada sobre qualquer incidente. A integridade dos dados e as operações são nossa principal prioridade”, escreveu a diretora executiva Lisa Schuessler em um comunicado. “Com qualquer incidente, trabalhamos com as autoridades e cumprimos as leis e regulamentos aplicáveis, e no caso de qualquer determinação de informações sensíveis em nossa posse sendo afetadas, notificamos todos os indivíduos afetados.”
Questionada se isso deveria ser interpretado como confirmação de que o Gladney protegeu o banco de dados exposto encontrado por Fowler e está notificando os indivíduos cujos dados foram incluídos, Schuessler referiu a WIRED à resposta inicial do Gladney. Essa declaração também observou que o Gladney está “constantemente tomando medidas adicionais para fortalecer e reforçar nossos sistemas para garantir que nossas redes e as informações confiadas a nós estejam seguras.”
