Proses adopsi pada dasarnya sangat sensitif karena melibatkan informasi pribadi yang sangat dalam tentang anak-anak, orang tua kandung, orang tua angkat, dan pengasuh lainnya. Jadi ketika peneliti keamanan dan pemburu pelanggaran data Jeremiah Fowler menemukan database yang dapat diakses publik di akhir Juni yang sepertinya berisi informasi terkait adopsi, dia langsung merasa khawatir.
Fowler berusaha keras mengidentifikasi pemilik database tersebut, yang menurutnya adalah organisasi nonprofit Gladney Center for Adoption yang berbasis di Texas. Dia kemudian mencoba memberi tahu organisasi itu tentang data yang terekspos pada 25 Juni tapi tidak mendapat balasan. Upaya notifikasi diulang pada 26 Juni, dan dalam beberapa jam database diam-diam diamankan—mudah-mudahan sebelum orang lain sempat mengaksesnya.
Kesalahan konfigurasi database sering terjadi secara online, meski sudah ada upaya bertahun-tahun untuk meningkatkan kesadaran tentang masalah ini, membuat informasi bisa diakses siapapun yang menemukannya. Namun, Fowler sangat terkejut melihat data terkait adopsi karena mencakup detail seperti identitas orang tua biologis anak, status medis dan kesehatan mental, interaksi dengan Layanan Perlindungan Anak, bahkan catatan perintah pengadilan. Database itu juga berisi informasi pribadi umum seperti nama, alamat, nomor telepon, alamat email, dan identifikasi unik untuk kasus anak-anak. Fowler akhirnya bisa melacak database tersebut ke Gladney karena juga berisi informasi tentang beberapa karyawan organisasi itu.
“Ini pertama kalinya dalam penelitian saya menemukan data adopsi, dan itu sangat mencolok karena banyak anak-anak ini sangat rentan,” kata Fowler kepada WIRED. “Saya yakin data ini terekspos saat migrasi ke sistem berbeda dan terbuka selama beberapa hari sebelum saya temukan. Jadi saya tidur dengan harapan bisa menemukannya sebelum orang jahat.”
Fowler mengatakan data tersebut sepertinya berasal dari sistem manajemen hubungan pelanggan (CRM) yang digunakan untuk mengatur data klien di bisnis dan organisasi lain. Database itu berisi lebih dari 1,1 juta catatan dengan ukuran 2,49 GB.
“Gladney Center for Adoption sangat serius terhadap keamanan. Kami selalu bekerja dengan bantuan ahli teknologi informasi eksternal untuk menyelidiki setiap insiden. Integritas data dan operasional adalah prioritas kami,” tulis Lisa Schuessler, COO, dalam pernyataannya. “Untuk setiap insiden, kami bekerja sama dengan penegak hukum dan mematuhi peraturan yang berlaku. Jika ada informasi sensitif yang terdampak, kami akan memberitahu semua pihak terkait.”
Ketika ditanya apakah ini bisa dianggap sebagai konfirmasi bahwa Gladney telah mengamankan database yang ditemukan Fowler dan sedang memberi tahu individu yang datanya terdampak, Schuessler merujuk WIRED pada pernyataan awal Gladney. Pernyataan itu juga menyebutkan bahwa Gladney “terus mengambil langkah tambahan untuk memperkuat sistem kami guna memastikan jaringan dan informasi yang dipercayakan kepada kami tetap aman.”