Teksas Evlat Edinme Ajansındaki Büyük Veri Sızıntısı 1,1 Milyon Kaydı Açığa Çıkardı

Siber güvenlik araştırmacısı Jeremiah Fowler , internette ifşa olmuş veritabanlarını tararken Gladney Evlat Edinme Merkezi'ne bağlı, şifresiz ve şifresiz bir şekilde çevrimiçi bırakılmış, herkesin erişimine açık, korumasız çok sayıda kayıt keşfetti.

2,49 gigabayt boyutunda ve 1,1 milyondan fazla kayıt barındıran veritabanı, çocuklar, evlat edinen ebeveynler, biyolojik aileler ve şirket personeli hakkında son derece hassas bilgiler içeriyordu. İsimlerden iletişim bilgilerine, vaka notlarından özel değerlendirmelere kadar her şey, internet bağlantısı olan herkes, özellikle de siber suçluların çok iyi bildiği , açık bulut sunucularını nasıl bulacağını bilenler için erişilebilirdi.

Fowler, kaynağı olduğuna inanılan kuruluşa derhal sorumlu bir açıklama bildirimi gönderdi. Veriler ertesi gün güvence altına alındı, ancak ne kadar süre boyunca açıkta kaldığı ve çevrimdışı bırakılmadan önce başka birinin erişip erişmediği konusunda sorular devam ediyor.

Bu veri sızıntısını özellikle endişe verici kılan şey, yalnızca verinin hacmi değil, aynı zamanda niteliğiydi. Kayıtlar, kurum genelinde vaka çalışmalarını ve iletişimi yönetmek için kullanılan bir CRM (Müşteri İlişkileri Yönetimi) platformundan geliyor gibi görünüyordu.

Fowler, "kişiler", "başvurular" ve "doğum babaları" etiketli klasörlerde, başvuranların kişisel geçmişlerini, evlat edinme reddi nedenlerini, aile geçmişlerini ve hatta madde kullanımı veya hukuki konulardan bahseden ayrıntılı kayıtlar buldu. Tam bir dava dosyası olmasa da, her kayıt, onları sosyal mühendislik veya dolandırıcılık hedefi haline getirecek kadar ayrıntı içeriyordu.

Fowler'ın Hackread.com ile paylaştığı rapora göre, daha hassas alanlardan biri 284.000 e-posta meta verisi kaydını içeriyordu. E-postaların tam metinleri açıklanmasa da, konu satırlarında bazen bağlamı ele verebilecek isimler veya referanslar yer alıyordu. Bazı kayıtlarda, kurum ile sağlık veya sosyal hizmet sağlayıcıları arasındaki iletişimler listeleniyordu ve bu veriler yanlış ellere geçerse, gizlilikle ilgili olası sorunlar daha da artıyordu.

Kayıtlar, yılların operasyonel geçmişini kapsıyordu, ancak kanıtlar veritabanının yakın zamanda oluşturulduğunu veya dışa aktarıldığını gösteriyordu. Sistemin şirket içinde mi yoksa üçüncü taraf bir tedarikçi tarafından mı barındırıldığı henüz belirsizliğini koruyor. Fowler, açıklamasına hiçbir zaman yanıt alamadı, bu nedenle ifşanın tam kapsamı veya herhangi bir adli inceleme yapılıp yapılmadığı konusunda netlik yok.

Teknik açıdan bakıldığında, kayıtlar düz metin ve genellikle CRM sistemlerinde verileri birbirine bağlamak için kullanılan UUID'lerin (Evrensel Benzersiz Tanımlayıcılar) bir karışımıydı. Bu tanımlayıcılar karmaşık görünebilir, ancak hassas içerikleri korumak için tasarlanmamıştır. Şifreleme olmadan, yetkisiz kullanıcılar tarafından erişildiğinde anlamlı bir koruma sağlamazlar.

Fowler, özellikle çocuklar veya sağlıkla ilgili içerikler söz konusu olduğunda verilerin şifrelenmesinin temel bir standart olması gerektiğini vurguladı. Ayrıca, kuruluşların hassas verilere şirket içi erişimi sınırlamalarını, sistemlerini düzenli olarak denetlemelerini ve personele temel siber güvenlik hijyeni konusunda eğitim vermelerini önerdi. Artık kullanılmayan eski veriler, sızıntı durumunda oluşabilecek olumsuz etkileri azaltmak için arşivlenmeli veya silinmelidir.

Fowler'ın raporunda Gladney veya bağlı kuruluşları herhangi bir usulsüzlükle suçlanmadı veya verilerin kötüye kullanıldığı iddia edilmedi. Ancak, ifşa edilen verilerin varsayımsal olarak kimliğe bürünme girişimlerine, kimlik avı dolandırıcılıklarına ve hatta şantajlara olanak sağlayabileceğine dikkat çekildi. Evlat edinme sürecinde yer alan aileler genellikle stresli ve kişisel deneyimler yaşar ve bu tür sızıntılar onları daha savunmasız hale getirir.

Bu durumda, verilerin çalındığı veya paylaşıldığı görülmemiştir. Fowler, doğrulama amacıyla yalnızca asgari düzeyde ekran görüntüsü almış ve içeriğin hiçbirini indirmemiş veya saklamamıştır. Haberciliği, etik, şeffaflık ve kişisel bilgileri işleyen sektörlerde daha iyi veri güvenliği taahhüdü doğrultusunda gerçekleştirilmiştir.