Enorme fuga di dati presso l'agenzia per le adozioni del Texas espone 1,1 milioni di record

Durante la scansione del web alla ricerca di database esposti, il ricercatore di sicurezza informatica Jeremiah Fowler ha scoperto un'enorme quantità di record non protetti collegati al Gladney Center for Adoption, lasciati online senza password, senza crittografia e accessibili a chiunque.

Il database, contenente 2,49 gigabyte e oltre 1,1 milioni di record, includeva informazioni estremamente sensibili su bambini, genitori adottivi, famiglie di origine e personale interno. Tutto, dai nomi e recapiti alle note dei casi e alle valutazioni private, era accessibile a chiunque avesse una connessione internet, soprattutto a coloro che sapevano come trovare server cloud esposti, cosa che i criminali informatici conoscono bene .

Fowler ha inviato rapidamente un avviso di divulgazione responsabile all'organizzazione ritenuta la fonte. I dati sono stati messi al sicuro il giorno successivo, ma restano dubbi sulla durata della loro esposizione e se qualcun altro vi abbia avuto accesso prima che venissero disattivati.

Ciò che rendeva questa fuga di dati particolarmente preoccupante non era solo il volume dei dati, ma anche la loro natura. I dati sembravano provenire da una piattaforma CRM (Customer Relationship Management) utilizzata per gestire le pratiche e le comunicazioni all'interno dell'organizzazione.

Nelle cartelle etichettate "contatti", "domande" e "padri biologici", Fowler ha trovato documenti dettagliati che descrivevano la storia personale dei richiedenti, i motivi del rifiuto di adozione, il background familiare e persino accenni all'abuso di sostanze o a questioni legali. Sebbene non ci fossero fascicoli completi, ogni voce conteneva sufficienti dettagli per renderli un bersaglio per ingegneria sociale o frode .

Secondo il rapporto di Fowler condiviso con Hackread.com, una delle aree più sensibili includeva 284.000 record di metadati di email. Sebbene il corpo completo delle email non fosse esposto, le righe dell'oggetto a volte includevano nomi o riferimenti che potevano rivelare il contesto. Alcuni record elencavano contatti tra l'agenzia e operatori sanitari o di servizi sociali, aumentando ulteriormente le potenziali ricadute sulla privacy qualora questi dati fossero caduti nelle mani sbagliate.

I dati coprivano anni di storia operativa, ma le prove suggerivano che il database stesso fosse stato creato o esportato solo di recente. Non è ancora chiaro se il sistema fosse ospitato internamente o da un fornitore terzo. Fowler non ha mai ricevuto risposta alla sua segnalazione, quindi non vi è chiarezza sulla reale portata dell'esposizione o sull'eventuale conduzione di un'analisi forense.

Da un punto di vista tecnico, i record erano un mix di testo normale e UUID (Universally Unique Identifier), tipicamente utilizzati nei sistemi CRM per collegare i dati. Questi identificatori possono sembrare complessi, ma non sono pensati per proteggere i contenuti sensibili. Senza crittografia, non offrono alcuna protezione significativa in caso di accesso da parte di utenti non autorizzati.

Fowler ha sottolineato che la crittografia dei dati, soprattutto quando riguarda minori o contenuti relativi alla salute, dovrebbe essere uno standard di base. Ha inoltre suggerito alle organizzazioni di limitare l'accesso interno ai dati sensibili, di verificare regolarmente i propri sistemi e di formare il personale sulle norme di base della sicurezza informatica. I dati più vecchi e non più in uso dovrebbero essere archiviati o eliminati per limitare le conseguenze in caso di fughe di notizie.

Il rapporto di Fowler non ha accusato Gladney o le sue affiliate di illeciti, né ha affermato che i dati siano stati utilizzati in modo improprio. Tuttavia, ha sottolineato che i dati esposti potrebbero ipoteticamente consentire tentativi di impersonificazione, truffe di phishing o persino ricatti. Le famiglie coinvolte in un'adozione spesso attraversano esperienze stressanti e personali, e tali fughe di notizie le rendono più vulnerabili.

In questo caso, i dati non sembravano essere stati rubati o condivisi. Fowler ha solo acquisito screenshot minimi a scopo di verifica e non ha scaricato né conservato alcun contenuto. Il suo lavoro di reporting è stato guidato da etica, trasparenza e dall'impegno per una migliore sicurezza dei dati in tutti i settori che gestiscono informazioni personali.