Texas Adoption Agency sofre breach com exposição de 1,1 milhão de registros
São Paulo — InkDesign News — O pesquisador em cibersegurança Jeremiah Fowler descobriu uma vulnerabilidade crítica no Gladney Center for Adoption, onde 1,1 milhão de registros sensíveis estavam acessíveis publicamente, sem qualquer proteção de senha ou criptografia.
Incidente e vulnerabilidade
O banco de dados exposto continha 2,49 gigabytes de informações profundamente sensíveis, incluindo dados sobre crianças, pais adotivos e famílias biológicas. Este incidente revela uma falha de configuração que permitiu o acesso não autorizado a dados gerenciados por um sistema de CRM (Customer Relationship Management). Segundo Fowler, a ausência de criptografia nesses dados comprometeu a segurança, expondo informações que poderiam ser exploradas para engenharia social ou fraudes.
A criptografia de dados, especialmente quando envolvem crianças ou conteúdos relacionados à saúde, deve ser um padrão básico.
(“Encrypting data, especially when it involves children or health-related content, should be a baseline standard.”)— Jeremiah Fowler, Pesquisador em Cibersegurança
Impacto e resposta
As informações expostas incluíam detalhes pessoais, históricos familiares e documentos de avaliação. Além disso, foram identificados 284.000 registros de metadados de e-mails, o que aumenta o potencial de vazamento de informações sensíveis. Após a descoberta da vulnerabilidade, Fowler enviou uma notificação de divulgação responsável, e os dados foram protegidos no dia seguinte. No entanto, não há confirmação acerca do tempo em que os dados estiveram disponíveis ou se foram acessados por terceiros antes da correção.
Mitigações recomendadas
Fowler sugere que as organizações implementem políticas rigorosas de segurança, limitando o acesso interno a dados sensíveis e realizando auditorias regulares de seus sistemas. Ele recomenda que dados antigos, não mais utilizados, sejam arquivados ou excluídos, minimizando o impacto em caso de vazamentos. A formação contínua da equipe em práticas básicas de cibersegurança também é essencial para evitar futuros incidentes.
A falta de resposta a minha divulgação deixou dúvidas sobre a extensão total da exposição ou se uma análise forense foi realizada.
(“Fowler never received a response to his disclosure, so there’s little clarity about the full extent of the exposure or whether any forensic review was conducted.”)— Jeremiah Fowler, Pesquisador em Cibersegurança
Os riscos residuais indicam que, apesar da rápida resposta, a falta de monitoramento e segurança em sistemas críticos pode levar a novas exposições a vulnerabilidades semelhantes no futuro.
Fonte: (Hack Read – Segurança Cibernética)
