LineLeader çocuk bakımı müşteri ilişkileri platformuna bağlı halka açık bir veritabanı, çocuk bakım ve erken eğitim merkezlerinde kayıtlı ebeveynler ve çocuklarla ilgili kişisel bilgileri ortaya çıkardı. Veritabanı, kimlik doğrulaması olmadan çevrimiçi bulundu ve sorun ele alınmadan önce kayıtlara sınırsız erişim sağlandı. Bu maruziyet, kayıt, pazarlama ve idari işlevler için LineLeader’a güvenen çocuk bakım sağlayıcılarına bağlı verileri etkiledi.
Sızdırılan veritabanı, ipucu, sorgulama ve aktif çocuk bakımı hesaplarıyla ilgili 140.000’den fazla kayıt içeriyordu. Bilgiler, ebeveynlerin tam isimleri, e-posta adresleri ve telefon numaralarını, ayrıca çocukların isimlerini ve ilgili bilgileri içeriyordu. Birçok durumda, kayıtlar ebeveynleri doğrudan belirli çocuklarla ilişkilendirerek aile üyeleri arasında net ilişkiler yaratıyordu. Verilerin yapısı, bunun test veya geliştirme sisteminden ziyade canlı bir üretim ortamından geldiğini gösteriyordu.
LineLeader, binlerce gündüz bakımı, anaokulu ve çocuk bakım merkezi tarafından kullanılan yazılım sunan Teksas merkezli CRM Web Solutions LLC tarafından işletilmektedir. Platform, sağlayıcıların sorguları, kayıtları ve ailelerle sürekli iletişimi yönetmelerine yardımcı olmak için tasarlanmıştır. Hizmet yaygın olarak kullanıldığı için, ortaya çıkan veriler tek bir çocuk bakım sağlayıcısı yerine çok sayıda bireysel kuruluşun kayıtlarını kapsamaktadır.
Olayın temel nedeni, temel erişim kontrollerinden yoksun yanlış yapılandırılmış bir veritabanıydı. Maruz kalan sistem Elasticsearch tabanlı ve internet üzerinden şifre veya başka bir kısıtlama olmadan erişilebiliyordu. Güvenlik uzmanları, güvensiz veritabanlarının büyük ölçekli veri açığının yaygın bir kaynağı olduğunu, çünkü araştırmacılar ve kötü niyetli aktörler tarafından kullanılan otomatik tarama araçları tarafından kolayca tespit edilebildiğini defalarca uyardı.
Ortaya çıkan bilgilerin doğası, olası kötüye kullanım konusunda endişeler yaratmaktadır. İletişim bilgileri, çocuk bakım düzenlemeleriyle ilgili bağlamsal bilgilerle birleştirildiğinde, ikna edici oltalama mesajları veya sosyal mühendislik girişimleri oluşturmak için kullanılabilir. Saldırganlar, çocuk bakım merkezleri veya personel gibi davranarak verileri ebeveynlerle güven oluşturmak için kullanabilir. Çocuk isimlerinin yer alması, maruz kalma hassasiyetini artırır ve etkilenen aileler için riski artırır.
Veritabanı tespit edildikten sonra sorun uygun yanıt kanallarına bildirildi ve verilere erişim kısıtlandı. Veritabanının güvence altına alınmadan önce ne kadar süre halka açık olduğu net değil. CRM Web Solutions LLC’den, etkilenen çocuk bakım sağlayıcılarının veya ailelerin bilgilendirilip bilgilendirilmediğine veya şirketin yetkisiz tarafların potansiyel erişimini değerlendirip değerlendirmediğine dair kamuoyuna açık bir onay verilmedi.
Bu olay, çocuk bakım sektöründeki üçüncü taraf hizmet sağlayıcıların elinde tutulan kişisel verilerin korunmasındaki devam eden zorlukları ortaya koyuyor. Çocuklar ve aileler hakkında hassas bilgileri alan kuruluşlardan, kimlik doğrulama, ağ kısıtlamaları ve bulut barındırılan sistemlerin düzenli denetimleri dahil olmak üzere sıkı güvenlik kontrolleri uygulamaları beklenmektedir. Yanlış yapılandırmalar, kötü niyet olmasa bile bu korumaları zayıflatabilir.
Bilgileri maruz kalan kayıtlara dahil edilmiş olabilecek ebeveynler ve vasilerin, çocuk bakım sağlayıcılarından geldiğini iddia eden beklenmedik e-postalar, aramalar veya mesajlar konusunda dikkatli olmaları tavsiye edilir. LineLeader’a maruz kalma, çocuklar ve diğer savunmasız grupları içeren hizmetleri destekleyen yazılım platformlarında veri güvenliği uygulamalarının önemini vurguluyor.