“Siber güvenlik araştırmacısı Jeremiah Fowler, Web’i açık veritabanları için tararken, Gladney Evlat Edinme Merkezi ile bağlantılı, şifre olmadan çevrimiçi bırakılan, şifreleme olmadan ve herkes tarafından erişilebilir olan büyük bir korunmasız kayıt keşfetti.”
2.49 gigabayt içeren ve 1.1 milyondan fazla kayıt içeren veritabanı, çocuklar, evlat edinen ebeveynler, doğum aileleri ve iç personel hakkında derinden hassas bilgiler içeriyordu. İsimlerden ve iletişim bilgilerinden vaka notlarına ve özel değerlendirmelere kadar her şey, özellikle maruz kalan bulut sunucularını nasıl bulacağını bilenlere, siber suçluların çok aşina olduğu bir İnternet bağlantısı olan herkes için erişilebilirdi.
Fowler, kaynak olduğuna inanılan kuruluşa hızla sorumlu bir açıklama bildirimi gönderdi. Veriler ertesi gün güvence altına alındı, ancak ne kadar süre maruz kaldığı ve başka birinin çevrimdışı alınmadan önce erişip erişmediğine dair sorular kaldı.
Bu verileri özellikle ilgili olarak sızdıran şey sadece veri hacmi değil, aynı zamanda doğası da idi. Kayıtlar, kuruluş genelinde vaka ve iletişimi yönetmek için kullanılan bir CRM (Müşteri İlişkileri Yönetimi) platformundan geliyor gibi görünüyordu.
“Kişiler”, “Uygulamalar” ve “Doğum Babaları” olarak etiketlenmiş klasörlerde Fowler, başvuru sahiplerinin kişisel geçmişlerini, evlat edinme inkarlarının nedenlerini, aile geçmişlerini ve hatta madde kullanımı veya yasal konulardan bahseden ayrıntılı kayıtlar buldu. Tam vaka dosyası olmasa da, her giriş onları sosyal mühendislik veya sahtekarlık için bir hedef haline getirecek kadar ayrıntı taşıdı.
Fowler’ın hackread.com ile paylaşılan raporuna göre, daha hassas alanlardan biri 284.000 e -posta meta veri kayıtlarını içeriyordu. Tüm e -posta gövdeleri ortaya çıkmamış olsa da, konu satırları bazen bağlamı verebilecek isimler veya referanslar içeriyordu. Bazı kayıtlar, ajans ve sağlık veya sosyal hizmet sağlayıcıları arasında erişim listeledi ve bu veriler yanlış ellere düşmüşse potansiyel gizlilik serpintisine katkıda bulundu.
Kayıtlar, operasyonel geçmiş yıllarının yıllarını kapsadı, ancak kanıtlar veritabanının kendisinin sadece yakın zamanda oluşturulduğunu veya dışa aktarıldığını gösterdi. Sistemin dahili olarak veya üçüncü taraf bir satıcı tarafından barındırılması belirsizliğini korumaktadır. Fowler açıklamasına asla bir yanıt almadı, bu nedenle maruz kalmanın tam kapsamı veya herhangi bir adli inceleme yapılıp yürütülmediği konusunda çok az netlik var.
Sızan verilerden ekran görüntüsü (bu resmin kaynağı: Web sitesi gezegeninden Jeremiah Fowler)
Sızan verilerden ekran görüntüsü (bu resmin kaynağı: Web sitesi gezegeninden Jeremiah Fowler)
Sızan verilerden ekran görüntüsü (bu resmin kaynağı: Web sitesi gezegeninden Jeremiah Fowler)
Teknik açıdan bakıldığında, kayıtlar genellikle verileri bağlamak için CRM sistemlerinde kullanılan düz metin ve UUID’lerin (evrensel olarak benzersiz tanımlayıcılar) bir karışımıydı. Bu tanımlayıcılar karmaşık görünebilir, ancak hassas içeriği korumak için değildir. Şifreleme olmadan, yetkisiz kullanıcılar tarafından erişildiğinde anlamlı bir koruma sunmazlar.
Fowler, özellikle çocukları veya sağlıkla ilgili içeriği içerdiğinde verileri şifrelemenin temel bir standart olması gerektiğini vurguladı. Ayrıca kuruluşların hassas verilere iç erişimi sınırlandırmasını, sistemlerini düzenli olarak denetlediğini ve personeli temel siber güvenlik hijyeni konusunda eğitmesini önerdi. Artık kullanılmayan eski veriler, sızıntı durumunda serpinti sınırlamak için arşivlenmeli veya silinmelidir.
Fowler’ın raporu Gladney veya bağlı kuruluşlarını haksızlıkla suçlamadı ve verilerin kötüye kullanıldığını iddia etmedi. Bununla birlikte, maruz kalan verilerin, taklit edilme girişimlerini, kimlik avı dolandırıcılığını ve hatta şantajları varsayımsal olarak mümkün kılabileceğini belirtti. Evlat edinmeye dahil olan aileler genellikle stresli ve kişisel deneyimlerden geçer ve bu tür sızıntılar onları daha savunmasız hale getirir.
Bu durumda, veriler çalınmış veya paylaşılmış gibi görünmüyordu. Fowler, doğrulama için yalnızca minimum ekran görüntüleri aldı ve içeriği indirmedi veya saklamadı. Raporlaması etik, şeffaflık ve kişisel bilgileri ele alan sektörler arasında daha iyi veri güvenliği taahhüdü tarafından yönlendirildi.