O processo de adoção é inerentemente sensível, envolvendo informações profundamente pessoais sobre crianças, pais biológicos, pais adotivos e outros cuidadores. Portanto, quando o caçador de dados e pesquisador de segurança Jeremiah Fowler se deparou com um banco de dados acessível publicamente online no final de junho que parecia conter informações relacionadas à adoção, ele ficou instantaneamente preocupado.
Fowler se apressou em identificar o proprietário do banco de dados, que ele concluiu ser a organização sem fins lucrativos Gladney Center for Adoption, com sede principalmente no Texas. Ele então trabalhou para notificar a organização sobre os dados expostos em 25 de junho, mas não recebeu resposta. Tentou notificar novamente em 26 de junho, e dentro de algumas horas o banco de dados foi silenciosamente protegido—esperançosamente antes que alguém mais conseguisse acessá-lo.
Bancos de dados mal configurados são comuns online, mesmo após anos de esforços para aumentar a conscientização sobre o problema, tornando informações acessíveis a quem quer que as encontre. Fowler ficou particularmente alarmado ao ver dados relacionados à adoção, pois o tesouro incluía detalhes como as identidades de alguns pais biológicos das crianças, dados sobre o estado de saúde física e mental dos indivíduos, informações sobre interações com os Serviços de Proteção à Criança e até registros mencionando ordens judiciais. O banco de dados também incluía informações mais típicas de identificação pessoal, como nomes, endereços, números de telefone, endereços de e-mail e identificadores únicos atribuídos aos casos das crianças. Fowler conseguiu rastrear o banco de dados até a Gladney, porque também continha informações sobre alguns funcionários da organização.
“Esta é a primeira vez em toda a minha pesquisa que vi dados de adoção, e se destacou porque muitas dessas crianças são muito vulneráveis”, diz Fowler à WIRED. “Acredito que esses dados foram expostos durante a mudança para um sistema diferente e que ficaram disponíveis por alguns dias antes de eu encontrá-los. Então, vou dormir à noite esperando que eu tenha chegado a isso antes dos ‘caras maus’.”
Fowler afirma que os dados pareciam ser de um sistema de gerenciamento de relacionamento com o cliente, ou CRM, que é usado para organizar dados de clientes em empresas e outras organizações. O tesouro continha mais de 1,1 milhão de registros e tinha 2,49 GB.
“O Gladney Center for Adoption leva a segurança a sério. Sempre trabalhamos com a assistência de especialistas em tecnologia da informação externos para conduzir uma investigação detalhada sobre qualquer incidente. A integridade dos dados e as operações são nossa principal prioridade,” escreveu a COO Lisa Schuessler em um comunicado. “Com qualquer incidente, trabalhamos com a aplicação da lei e cumprimos as leis e regulamentos aplicáveis, e no caso de qualquer determinação de informações sensíveis em nossa posse serem impactadas, notificamos todos os indivíduos afetados.”
Quando questionada se isso deve ser interpretado como confirmação de que a Gladney protegiu o banco de dados exposto encontrado por Fowler e está notificando os indivíduos cujos dados foram incluídos, Schuessler se referiu à resposta inicial da Gladney. Essa declaração também observou que a Gladney está “constantemente tomando medidas adicionais para fortalecer e reforçar nossos sistemas para garantir que nossas redes e as informações que nos foram confiadas estejam seguras.”