Como cannabis legal expandiu -se nos Estados Unidos para uso recreativo e médico, as empresas acumularam Data de dados sobre clientes e suas transações. As pessoas que se candidataram a cartões de maconha medicinal tiveram que compartilhar dados particularmente pessoais de saúde para se qualificar. Para alguns pacientes em Ohio que usam maconha médica, uma exposição recente de dados pode afetar suas informações sensíveis.
Pesquisador de segurança Jeremiah Fowler Encontrou um banco de dados acessível ao público Em meados de julho, isso parecia conter registros médicos, avaliações de saúde mental, relatórios médicos e imagens de IDs, como carteiras de motorista para pessoas que procuram cartões de cannabis medicinal. O Trove de 323-GB armazenou quase um milhão de registros, incluindo números de previdência social, endereços de email, endereços físicos, datas de nascimento e dados médicos-todos organizados pelo nome.
Com base em informações que pareciam descrever funcionários e parceiros de negócios específicos, a Fowler suspeitava que os dados pertenciam à empresa de Ohio, o Ohio Medical Alliance LLC, que se chama o nome do cartão de maconha Ohio. Fowler entrou em contato com a empresa em 14 de julho; Quando ele verificou o banco de dados no dia seguinte, ele havia sido garantido e não era mais acessível ao público online. Fowler não recebeu uma resposta sobre sua submissão.
A Aliança Médica de Ohio não respondeu às perguntas de Wired sobre as descobertas de Fowler. A certa altura, porém, o presidente da empresa, Cassandra Brooks, escreveu em um email: “Preciso de tempo para investigar esse suposto incidente. Levamos muito a sério a segurança dos dados e estamos investigando esse assunto”.
“Havia relatórios de médicos que diriam qual era o problema subjacente – seja ansiedade, câncer, HIV ou outra coisa. Em alguns casos, os candidatos enviariam seus próprios registros médicos como prova” de sua condição de qualificação, disse Fowler à Wired. “Vi documentos de identificação de muitos estados, de todos os lugares. E até vi cartões de liberação de criminosos, que são basicamente IDs para pessoas que acabaram de sair da prisão que eles se submeteram como prova de identidade para obter um cartão de maconha medicinal”.
Fowler diz que a maioria dos arquivos no banco de dados eram formatos de imagem como PDFs, JPGs e PNGs. Um documento de texto simples CSV chamado “Comentários da equipe” parecia ser uma exportação de comunicações internas, históricos de compromissos, notas sobre clientes e status do aplicativo. Esse arquivo também continha mais de 200.000 endereços de email de funcionários da Ohio Medical Alliance, parceiros de negócios e clientes.
Os bancos de dados que são incorretos e inadvertidamente foram deixados publicamente expostos na internet aberta são um comum problema on-line Apesar dos esforços para aumentar a conscientização sobre o erro e suas implicações de privacidade.
