领养机构数据暴露事件揭示儿童与父母信息

领养过程本身涉及高度敏感性，包含儿童、生父母、养父母及其他监护人的深度个人信息。因此当资深数据泄露追踪者、安全研究员Jeremiah Fowler于6月底发现一个似乎包含领养相关信息的公开可访问数据库时，他立即感到担忧。

Fowler迅速确定该数据库所有者主要为德克萨斯州的非营利组织Gladney领养中心。他于6月25日通知该组织数据暴露情况，但未获回复。6月26日再次尝试通知后数小时内，数据库被悄然保护——希望是在其他人访问之前。

尽管经过多年提高认知的努力，错误配置的数据库在网上仍很常见，使信息可被任何发现者访问。Fowler特别震惊于看到领养相关数据，因为该库包含诸如部分儿童生父母身份、个人医疗及心理健康状况数据、与儿童保护服务互动信息，甚至法院命令记录等细节。数据库还包含更典型的个人识别信息，如姓名、地址、电话号码、电子邮件地址及分配给儿童案件的唯一标识符。Fowler最终通过数据库中包含该组织员工信息追踪到Gladney。

“这是我所有研究中首次见到领养数据，它很突出，因为许多这些儿童非常脆弱，”Fowler告诉WIRED。“我相信这些数据是在迁移到不同系统期间暴露的，并且在我发现之前已经公开了几天。所以我晚上睡觉时希望我先于坏人发现了它。”

Fowler表示，数据似乎来自客户关系管理（CRM）系统，用于企业和组织中的客户数据整理。该库包含超过110万条记录，容量为2.49 GB。

“Gladney领养中心高度重视安全。我们始终借助外部信息技术专家协助对任何事件进行详细调查。数据完整性和运营是我们的首要任务，”首席运营官Lisa Schuessler在声明中写道。“对于任何事件，我们与执法部门合作并遵守适用法律法规，如果确定我们持有的敏感信息受到影响，我们会通知所有受影响个人。”

当被问及这是否应视为Gladney保护了Fowler发现的暴露数据库并正在通知数据被包含的个人时，Schuessler将WIRED引向Gladney的初始回应。该声明还指出，Gladney“不断采取额外步骤进一步加强和巩固我们的系统，以确保我们的网络和委托给我们的信息安全”。