Утечка персональных данных из агентства по усыновлению

В Сети зафиксирована утечка персональных данных агентства по усыновлению. Утечка персональных данных произошла из-за неверных настроек облачного хранилища.

Исследователь безопасности Йеремия Фаулер (Jeremiah Fowler) обнаружил незащищенную паролем базу данных с незашифрованной информацией. База содержала более 1,1 млн записей общим объемом почти 2,5 ГБ. Изучив выборку из скомпрометированных данных, Фаулер определил, что они содержат такие персональные данные, как имена, физические адреса, адреса электронной почты, номера телефонов и многое другое. Судя по всему, данные были связаны с CRM-системой, которая используется для координации внутренних и внешних действий. Записи представляют микс текстовых данных и универсальных уникальных идентификаторов (UUID).

Информация, которая содержалась во внутренних файлах скомпрометированного хранилища, указывает на то, что база данных принадлежала расположенной в штате Техас организации под названием Центр усыновления Глэдни (Gladney Centre for Adoption), которая уже более 130 лет предоставляет услуги по усыновлению и защите прав детей.

Фаулер незамедлительно отправил в эту организацию сообщение об утечке данных, и на следующий день доступ к базе был ограничен.

По словам исследователя, ему не удалось выяснить, кем управлялась найденная им база данных — непосредственно Центром усыновления Глэдни или подрядчиком.

Йеремия Фаулер рассказал, что в папке «Контакты» находились записи, включающие имена и фамилии, номера телефонов, адреса электронной почты и физические адреса. Также в этом разделе содержались сведения об отношениях контактов с организацией или о поводах, по которым они указаны в качестве контактных лиц. В папке «Заявления» насчитывалось около 39 тысяч записей с именами лиц и внутренними заметками по их конкретным делам, в том числе основания для отказа в усыновлении ребенка или одобрения заявок от приемных родителей. В некоторых случаях причиной для отказа было указано употребление психоактивных веществ.

В папке «Электронные письма» Фаулер насчитал 284 тыс. записей с подробным описанием тем и отравителей. Хотя полное содержание писем скомпрометировано не было, в некоторых темах встречались имена и другие данные с идентификацией личности.

Другие папки содержали внутренние записи сотрудников Центра Глэдни с именами, адресами электронной почты, датами изменений и уникальными идентификаторами. В базе данных также были обращения к организациям, социальным службам или медицинским специалистам, которые помогают с размещением детей или взаимодействии с другими службами. Кроме того, были папки с записями, в которых каталогизировались данные о потенциальных клиентах, беременностях, детях, находящихся под опекой CPS (Службы защиты детей), информация о рождениях, проживании в общежитии, медицинских расходах и другая информация, которая может относиться к категории конфиденциальной.

Хотя записи в базе данных относятся ко многим годам, были признаки того, что хранилище было создано недавно и всего за несколько дней до того, как его обнаружил Фаулер.

Скомпрометированные данные могут представлять большую ценность для злоумышленников в связи с сильной эмоциональной стороной усыновления. Потенциальные риски здесь включают попытки использования контактной информации и персональных данных для получения дополнительной информации, которая гипотетически может быть использована для кражи информации, целенаправленного фишинга или даже шантажа. Если бы преступники получили доступ к внутренним записям Центра Глэдни, связанным с делами об усыновлении, употреблением наркотиков, юридическими вопросами или другими конфиденциальными внутренними данными, они могли бы попытаться выдать себя за сотрудников агентств по усыновлению, юристов или социальных работников. У родителей или клиентов не было бы оснований сомневаться в законности запросов, поскольку преступники могли бы ссылаться на информацию, которая теоретически известна только клиенту и организации, с которой он взаимодействует.

Источник: Website Planet