Massives Datenleck bei texanischer Adoptionsagentur legt 1,1 Millionen Datensätze offen

„Beim Durchsuchen des Internets nach offengelegten Datenbanken entdeckte der Cybersicherheitsforscher Jeremiah Fowler eine riesige Menge ungeschützter Datensätze, die mit dem Gladney Center for Adoption verknüpft waren. Diese waren ohne Passwort und Verschlüsselung online und für jeden zugänglich.“

Die 2,49 Gigabyte große Datenbank mit über 1,1 Millionen Datensätzen enthielt hochsensible Informationen über Kinder, Adoptiveltern, leibliche Familien und interne Mitarbeiter. Von Namen und Kontaktdaten bis hin zu Fallnotizen und privaten Gutachten war alles für jeden mit Internetanschluss zugänglich, insbesondere für diejenigen, die wissen, wie man exponierte Cloud-Server findet – ein Phänomen, mit dem Cyberkriminelle bestens vertraut sind.

Fowler schickte umgehend eine Mitteilung zur Offenlegung der Daten an die mutmaßliche Quelle. Die Daten wurden am darauffolgenden Tag gesichert, es bleiben jedoch Fragen darüber, wie lange sie zugänglich waren und ob jemand anderes darauf zugegriffen hat, bevor sie offline genommen wurden.

Was dieses Datenleck besonders besorgniserregend machte, war nicht nur die Menge der Daten, sondern auch ihre Art. Die Datensätze schienen von einer CRM-Plattform (Customer Relationship Management) zu stammen, die zur Verwaltung der Fallbearbeitung und Kommunikation im gesamten Unternehmen genutzt wurde.

In Ordnern mit den Bezeichnungen „Kontakte“, „Bewerbungen“ und „leibliche Väter“ fand Fowler detaillierte Aufzeichnungen über die persönliche Geschichte der Antragsteller, Gründe für Adoptionsablehnungen, familiäre Hintergründe und sogar Hinweise auf Drogenkonsum oder rechtliche Angelegenheiten. Obwohl es keine vollständigen Fallakten gab, enthielt jeder Eintrag gerade genug Details, um die Antragsteller zum Ziel von Social Engineering oder Betrug zu machen.

Laut Fowlers Bericht , der Hackread.com vorliegt, umfasste einer der sensibleren Bereiche 284.000 E-Mail-Metadatensätze. Obwohl die vollständigen E-Mail-Texte nicht offengelegt wurden, enthielten die Betreffzeilen manchmal Namen oder Referenzen, die den Kontext verraten konnten. Einige Datensätze wiesen auf Kontakte zwischen der Agentur und Gesundheits- oder Sozialdienstleistern hin, was die potenziellen Datenschutzrisiken weiter verschärfte, falls diese Daten in die falschen Hände geraten sollten.

Die Aufzeichnungen umfassten mehrere Jahre Betriebsgeschichte, doch Hinweise deuten darauf hin, dass die Datenbank selbst erst kürzlich erstellt oder exportiert worden war. Ob das System intern oder von einem Drittanbieter gehostet wurde, bleibt unklar. Fowler erhielt nie eine Antwort auf seine Offenlegung, sodass das volle Ausmaß der Offenlegung und die Frage, ob eine forensische Überprüfung durchgeführt wurde, unklar sind.

Technisch gesehen bestanden die Datensätze aus einer Mischung aus Klartext und UUIDs (Universally Unique Identifiers), die typischerweise in CRM-Systemen zur Datenverknüpfung verwendet werden. Diese Kennungen mögen komplex aussehen, dienen aber nicht dem Schutz vertraulicher Inhalte. Ohne Verschlüsselung bieten sie keinen sinnvollen Schutz vor unbefugtem Zugriff.

Fowler betonte, dass die Verschlüsselung von Daten, insbesondere bei Kindern oder gesundheitsbezogenen Inhalten, ein grundlegender Standard sein sollte. Er schlug außerdem vor, dass Unternehmen den internen Zugriff auf sensible Daten beschränken, ihre Systeme regelmäßig überprüfen und ihre Mitarbeiter in grundlegenden Cybersicherheitsmaßnahmen schulen sollten. Ältere, nicht mehr genutzte Daten sollten archiviert oder gelöscht werden, um die Folgen von Datenlecks zu begrenzen.

Fowlers Bericht warf Gladney oder seinen Partnern weder Fehlverhalten vor, noch behauptete er, die Daten seien missbraucht worden. Er wies jedoch darauf hin, dass die offengelegten Daten möglicherweise Identitätsbetrug, Phishing-Betrug oder sogar Erpressung ermöglichen könnten. Familien, die mit Adoptionen zu tun haben, machen oft belastende und persönliche Erfahrungen, und solche Datenlecks machen sie anfälliger.

In diesem Fall schienen die Daten weder gestohlen noch weitergegeben worden zu sein. Fowler fertigte lediglich minimale Screenshots zur Überprüfung an und lud keine Inhalte herunter oder speicherte sie. Seine Berichterstattung orientierte sich an ethischen Grundsätzen, Transparenz und dem Engagement für mehr Datensicherheit in allen Bereichen, in denen personenbezogene Daten verarbeitet werden.