- O Centro de CRM da Gladney Center para a adoção estava gerando muitos dados sensíveis
- Esses dados estavam sendo armazenados em um banco de dados não criptografado e não protegido
- O banco de dados continha nomes, endereços e mais
O Gladney Center for Adoption, uma agência de adoção sem fins lucrativos, estava vazando informações confidenciais sobre crianças, pais, funcionários e outras pessoas, mantendo um banco de dados desprotegido.
No início desta semana, Jeremiah Fowler, pesquisadora de segurança conhecida por caçar bancos de dados não criptografados e não protegidos por passas, encontrou um que tinha 2,49 GB de tamanho e que continha mais de 1,1 milhão de registros.
Os registros incluíam nomes de crianças, pais biológicos, pais adotados, funcionários e leads. Além dos nomes, também havia números de telefone, endereços postais, informações sobre “pais do nascimento” e dados sobre se as pessoas foram aprovadas ou negado, tornando -se um pai adotivo.
Abusando das informações para phishing
A informação é altamente sensível e, como tal – muito valiosa para os cibercriminosos. Os bandidos podem usá-lo para criar e-mails de phishing personalizados e convincentes, através dos quais podem implantar malware, roubar informações bancárias ou outras credenciais de login, resultando em roubo de identidade, fraude eletrônica e possivelmente ransomware.
Por exemplo, um cibercriminal pode encontrar uma pessoa que anteriormente negou se tornar um pai adotivo e enviar um e -mail notificando -os sobre uma mudança em seu status. No entanto, para finalizar o processo, eles precisariam pagar uma taxa dentro de uma janela de 24 horas. Este é apenas um exemplo teórico de como os Crooks podem abusar dos dados da Gladney.
A boa notícia é que não há evidências de que alguém tenha descoberto o arquivo antes de Fowler. Assim que o banco de dados foi encontrado, o pesquisador procurou Gladney, que o trancou quase imediatamente. Não sabemos quanto tempo permaneceu ativo e, para ter certeza de que os arquivos não foram roubados – precisaria haver uma análise forense detalhada.
Também não sabemos se o Gladney era quem mantinha esse banco de dados, ou se esse foi o trabalho de terceiros. Sabemos que foi gerado por um sistema de gerenciamento de relacionamento com clientes (CRM).
Via Planeta do site
Fique conectado