Vazamento massivo de dados em agência de adoção do Texas expõe 1,1 milhão de registros

“Ao escanear a web em busca de bancos de dados expostos, o pesquisador de segurança cibernética Jeremiah Fowler descobriu um enorme conjunto de registros desprotegidos vinculados ao Gladney Center for Adoption, deixados online sem senha, sem criptografia e acessíveis a qualquer pessoa.”

O banco de dados, com 2,49 gigabytes e mais de 1,1 milhão de registros, incluía informações extremamente sensíveis sobre crianças, pais adotivos, famílias biológicas e funcionários internos. Tudo, desde nomes e detalhes de contato até anotações de casos e avaliações privadas, estava acessível a qualquer pessoa com conexão à internet, especialmente àqueles que sabem como encontrar servidores em nuvem expostos, algo com que os cibercriminosos estão muito familiarizados .

Fowler enviou rapidamente um aviso de divulgação responsável à organização que se acredita ser a fonte. Os dados foram protegidos no dia seguinte, mas ainda há dúvidas sobre por quanto tempo ficaram expostos e se alguém mais os acessou antes de serem retirados do ar.

O que tornou esse vazamento de dados especialmente preocupante não foi apenas o volume de dados, mas a natureza deles. Os registros pareciam vir de uma plataforma de CRM (Gestão de Relacionamento com o Cliente) usada para gerenciar casos e a comunicação em toda a organização.

Em pastas rotuladas como "contatos", "solicitações" e "pais biológicos", Fowler encontrou registros detalhados descrevendo o histórico pessoal dos requerentes, os motivos das recusas de adoção, os antecedentes familiares e até mesmo menções a uso de substâncias ou questões legais. Embora não houvesse arquivos completos do caso, cada entrada continha detalhes suficientes para torná-los alvo de engenharia social ou fraude .

De acordo com o relatório de Fowler compartilhado com o Hackread.com, uma das áreas mais sensíveis incluía 284.000 registros de metadados de e-mail. Embora os textos completos dos e-mails não tenham sido expostos, os assuntos às vezes incluíam nomes ou referências que poderiam revelar o contexto. Alguns registros listavam contatos entre a agência e prestadores de serviços de saúde ou sociais, o que aumentava ainda mais as potenciais consequências para a privacidade caso esses dados caíssem em mãos erradas.

Os registros abrangem anos de histórico operacional, mas evidências sugerem que o próprio banco de dados foi criado ou exportado recentemente. Ainda não está claro se o sistema foi hospedado internamente ou por um fornecedor terceirizado. Fowler nunca recebeu uma resposta à sua divulgação, portanto, há pouca clareza sobre a extensão total da exposição ou se alguma revisão forense foi realizada.

Do ponto de vista técnico, os registros eram uma mistura de texto simples e UUIDs (Identificadores Únicos Universais), normalmente usados em sistemas de CRM para vincular dados. Esses identificadores podem parecer complexos, mas não se destinam a proteger conteúdo sensível. Sem criptografia, eles não oferecem proteção significativa se acessados por usuários não autorizados.

Fowler enfatizou que a criptografia de dados, especialmente quando se trata de crianças ou conteúdo relacionado à saúde, deve ser um padrão básico. Ele também sugeriu que as organizações limitem o acesso interno a dados sensíveis, auditem seus sistemas regularmente e treinem seus funcionários em práticas básicas de segurança cibernética. Dados antigos que não são mais utilizados devem ser arquivados ou excluídos para limitar as consequências em caso de vazamentos.

O relatório de Fowler não acusou Gladney ou suas afiliadas de irregularidades, nem alegou que os dados foram utilizados indevidamente. No entanto, ele ressaltou que os dados expostos poderiam, hipoteticamente, permitir tentativas de falsificação de identidade, golpes de phishing ou até mesmo chantagem. Famílias envolvidas em processos de adoção frequentemente passam por experiências estressantes e pessoais, e tais vazamentos as tornam mais vulneráveis.

Neste caso, os dados não parecem ter sido roubados ou compartilhados. Fowler fez apenas capturas de tela mínimas para verificação e não baixou nem reteve nenhum conteúdo. Sua reportagem foi pautada pela ética, transparência e compromisso com a melhoria da segurança de dados em todos os setores que lidam com informações pessoais.