Informe: dades sensibles dels usuaris de cànnabis exposats en incompliment de dades

Els investigadors de privacitat de Noam Rotem i Ran Locar, investigadors de privacitat a Internet, van descobrir un equip de recerca de vpnMentor incompliment de dades a THSuite, un sistema de punt de venda de la indústria cànnabis.

El nostre equip va identificar una cubeta Amazon S3 no segura, propietat de THSuite va exposar dades sensibles de diversos dispensaris de marihuana arreu dels EUA i els seus clients.

Les dades filtrades incloses escanejat identificacions governamentals i d’empleats, exposant informació d’identificació personal (PII) per a més de 30.000 persones.

Perfil de l’empresa THSuite

THSuite ofereix serveis de programari de gestió de processos empresarials als propietaris i operadors dispensaris de cànnabis als Estats Units.

Els dispensaris de cànnabis han de recollir grans quantitats d’informació sensible per tal de complir les lleis estatals. La plataforma THSuite està dissenyada per simplificar aquest procés per als operadors dispensaris integrant-se automàticament amb el sistema de traçabilitat API de cada estat..

Com a conseqüència d’això, la plataforma té accés a moltes dades privades relacionades amb els dispensaris i els seus clients.

Cronologia del descobriment i la reacció del propietari

De vegades, l’extensió d’un incompliment de dades i el propietari de les dades són evidents i el problema es resol ràpidament. Però són rares aquestes èpoques. Més sovint, necessitem dies d’investigació abans d’entendre què hi ha en joc o qui filtra les dades.

Comprendre una incompliment i el seu impacte potencial una atenció i un temps curosos. Treballem molt per publicar informes precisos i de confiança, assegurar que tothom que els llegeixi entengui la seva serietat.

Algunes parts afectades neguen els fets, prescindint de la nostra investigació o fent-ne constància. Per tant, hem de ser exhaustius i assegurar-nos que tot el que trobem és correcte i cert.

En aquest cas, fàcilment vam identificar THSuite com a propietari de la base de dades i vam contactar amb l’empresa per conèixer les nostres conclusions.

  • Data descoberta: 24 de desembre de 2019
  • Data de contacte dels propietaris: 26 de desembre de 2019
  • Data de contacte amb Amazon AWS: 7 de gener de 2020
  • Base de dades de dates tancada: 14 de gener de 2020

Exemple d’entrades a la base de dades

Més de 85.000 fitxers es van filtrar en aquest incompliment de dades, incloses més de 30.000 registres amb PII sensible. La filtració també va incloure identificadors de govern i d’empresa escanejats emmagatzemats en un cub d’Amazon S3 a través del servei d’emmagatzematge d’Amazon Simple.

El cub filtrat contenia tantes dades que no ens ha estat possible examinar tots els registres de manera individual. En lloc d’això, vam examinar un bon grapat d’entrades aleatòries per comprendre quins tipus de dades s’exposaven a l’incompliment general.

A la mostra d’entrades que vam comprovar, vam trobar informació relacionada amb tres dispensaris de marihuana en diferents llocs dels Estats Units: dispensari Amedicanna, medicaments Bloom i Colorado Grow Company. A continuació es poden trobar exemples d’aquestes entrades.

malgrat això, aquest incompliment afectà a molts més dispensaris. És possible que tots els clients THSuite i els seus clients estiguessin implicats.

També hem trobat fotografies de Identificadors de fotografies emeses pel govern i les corresponents signatures dels visitants i dels pacients dispensaris per igual. A més, hi ha certificacions sobre el que sembla que cada pacient reconeix les lleis estatals sobre la compra i l’ús de la medicina basada en el cànnabis.

Expedients de dispensari d’Amedicanna

L’incompliment THSuite va implicar dades d’AmediCanna Dispensary, un dispensari de marihuana mèdic situat a l’estat de Maryland.

La filtració va exposar les següents dades personals sobre els clients d’Amedicanna:

  • Nom complet
  • Número de telèfon
  • Correu electrònic
  • Data de naixement
  • adreça
  • Número d’identificació mèdic / estat i data de caducitat
  • Límit de gram de cànnabis
  • Signatura

THSuite incomplint els pacients

La base de dades també va incloure detalls sobre l’inventari i les vendes de Amedicanna. Podem veure una llista de transaccions amb la informació següent:

  • Nom del pacient i número d’identificació mèdica
  • Nom d’empleat
  • Comprar varietat de cànnabis
  • Quantitat de cànnabis adquirit
  • Cost total de la transacció
  • Data de recepció, juntament amb un DNI de recepció interna

Rebuts d’incompliment THSuite

Medicinals en flor

Bloom Medicinals és un dispensari de marihuana mèdic amb seu a Ohio que té ubicacions a Akron, Columbus, Maumee, Painesville i Seven Mile.

L’incompliment de dades va exposar informació sobre el dispensari inventari, informes mensuals de vendes i informes de compliment, així com els detalls del pacient següents:

  • Nom complet
  • Data de naixement
  • Identificació mèdica / estat i data de caducitat
  • Número de telèfon
  • Correu electrònic
  • adreça
  • Data de la primera compra
  • Si el pacient va rebre o no ajuda econòmica per a la compra de cànnabis
  • Si el pacient va optar o no per les notificacions de text SMS

Vam poder veure les vendes mensuals, els descomptes, les devolucions i els impostos pagats del dispensari. Les vendes es van descompondre en funció del mètode de pagament i el tipus de producte.

Vendes de violació THSuite

La base de dades incloïa una llista de cada producte cànnabis, juntament amb una breu descripció, el proveïdor del producte i el seu preu.

Companyia de Creixement de Colorado

Colorado Grow Company és un dispensari de marihuana recreativa situat a la ciutat de Durango, Colorado.

L’incompliment de dades THSuite va exposar els informes mensuals de vendes del dispensari tant per a productes de cànnabis com no cannàbics, incloent vendes brutes, descomptes, impostos, vendes netes i totals per a cada tipus de pagament..

La fuita exposada noms complets dels empleats dispensaris i el nombre d’hores que van treballar durant cada període de retribució de dues setmanes.

THSuite incomplir l'horari dels empleats

La base de dades també incloïa a llista detallada d’inventaris amb els noms de producte, descripcions, desglossaments de costos i quantitat a mà al dispensari.

No hem trobat registres amb informació específica sobre els clients de Colorado Grow Company ni sobre altres usuaris de marihuana recreativa. Tanmateix, atès que no hem pogut explorar amb detall totes les dades filtrades, no podem estar segurs que aquests registres no existiran.

Impacte de la incomplicació de dades

Aquest incompliment de dades té greus conseqüències per als dispensaris i els seus clients.

Problemes de privadesa per als usuaris de cànnabis

Com a resultat d’aquest incompliment de dades, es va exposar informació personal sensible per a pacients de marihuana mèdica, i possiblement també per a usuaris de marihuana recreativa. Això planteja alguns greus preocupacions sobre la privadesa.

Els pacients mèdics tenen dret legal de guardar la informació mèdica privada per una bona raó. Els pacients que es van filtrar informació personal poden tenir conseqüències negatives tant a nivell personal com professional.

Segons la normativa HIPAA, és un delicte federal als Estats Units que qualsevol proveïdor de serveis de salut exposi informació sanitària protegida (PHI) que es podria utilitzar per identificar un individu. Les infraccions a l’HIPAA poden comportar multes de fins a 50.000 dòlars per cada registre exposat, o fins i tot en presó.

Els dispensaris de cànnabis existeixen en una zona gris legal, ja que als Estats Units hi ha grans conflictes entre les lleis federals i les estatals tant sobre marihuana tant mèdica com recreativa. Fins i tot en els estats on el consum de cànnabis està permès segons la legislació estatal, encara està prohibit segons la legislació federal.

Tot i això, la majoria d’experts legals hi estan d’acord Els dispensaris han de seguir la normativa HIPAA igual que qualsevol proveïdor d’atenció mèdica.

Molts llocs de treball tenen polítiques específiques que prohibeixen l’ús de cànnabis. Els clients i pacients poden enfrontar-se a conseqüències en el treball a causa del consum exposat de cànnabis. Alguns podrien fins i tot perdre la feina, sobretot si treballen per a una agència federal.

Encara sense els riscos legals, encara hi ha estigma que envolta l’ús de marihuana. Les persones poden patir problemes de reacció si les seves famílies, amics i col·legues saben que fan servir cànnabis.

Estafes i atacs de phishing

Els pirates informàtics i estafadors poden aprofitar les dades personals exposades a l’incompliment de dades sobre clients i empleats dispensaris per crear atacs de phishing personalitzats altament eficaços.

Números de telèfon i estat de desactivació de notificació de text proporciona l’oportunitat perfecta per a atacs de pesca. Els actors maliciosos també poden utilitzar correus electrònics filtrats i adreces domèstiques per dirigir-los a individus.

Els pirates informàtics poden utilitzar fàcilment dades personals exposades aplegar més dades personals a través de comptes de mitjans socials i altres fonts en línia. Podeu utilitzar informació detallada sobre les compres recents exposades en l’incompliment de dades accedeix als comptes financers privats.

Amb prou informació, una festa maliciosa podria fins i tot cometre robatori d’identitat, que pot tenir conseqüències a llarg termini molt greus.

Impacte en els dispensaris

L’incompliment de dades també afecta els dispensaris que confiaven en THSuite amb la seva informació privada. Aquests dispensaris poden trobar-se enfrontats majors conseqüències a causa de la possible infracció HIPAA creada per aquesta violació.

Una altra qüestió és que ara els dispensaris competidors poden tenir accés a informació detallada sobre els clients i inventaris d’aquests dispensaris.

Aquestes empreses poden aprofitar-ho per millorar la seva estratègia de preus i l’oferta de productes. També poden utilitzar informació del client que es filtri per crear campanyes publicitàries orientades.

Els dispensaris afectats podrien perdre clients com a resultat de l’incompliment de dades. Tot i que els dispensaris no fossin directament responsables, els clients podrien dubtar-ho confieu en aquests dispensaris amb la seva informació personal després que es filtrés.

Assessorament dels experts

THSuite podria haver evitat aquesta fuita fàcilment si n’haguessin agafat alguna mesures bàsiques de seguretat per protegir el cub Amazon S3. Aquests inclouen, però no es limiten a:

  • Assegureu els servidors
  • Implementa unes regles d’accés adequades
  • No deixeu mai un sistema que no requereixi autenticació oberta a Internet

Qualsevol empresa pot replicar els mateixos passos, sigui quina sigui la seva mida. Per obtenir més informació sobre com protegir el vostre negoci, consulteu la nostra guia en profunditat sobre la protecció del vostre lloc web i de la vostra base de dades en línia de pirates informàtics.

Per als dispensaris afectats

Recomanem contactar directament amb THSuite per obtenir més informació sobre les pràctiques de seguretat de l’empresa i sobre com preveu garantir la seguretat de les vostres dades en un futur.

Com a mínim, THSuite hauria d’investigar per esbrinar com s’ha produït aquest incompliment de dades i implementar nous procediments de seguretat assegureu-vos que una cosa així no torni a passar.

En el futur, també et recomanem proveu a fons qualsevol servei de tercers contracteu per assegurar-vos que segueixin les millors pràctiques i tinguin diverses mesures de seguretat per protegir les vostres dades sensibles.

Per a clients afectats

Si ets client o pacient d’un dispensari de marihuana, li recomanem que parli directament amb el seu proveïdor per esbrinar si utilitzen THSuite o ho han utilitzat anteriorment.

Si creieu que es pot haver exposat la vostra informació privada en aquest incompliment de dades, podeu fer accions per minimitzar el seu impacte.

Llegiu el nostre Guia completa de privadesa en línia per conèixer les tècniques que fan els hackers per envair la vostra privadesa i què podeu fer per protegir-se. També et recomanem utilitzeu una VPN per protegir les vostres dades privades de ciberdelinqüents que puguin intentar orientar-vos després de la filtració de la informació.

També potser voldreu parlar del vostre dispensari per saber com garantirà la vostra seguretat i privacitat en el futur.

Com i per què vam descobrir l’incompliment

L’equip de recerca vpnMentor va descobrir aquest incompliment a la base de dades de THSuite com a part de la nostra projecte de mapeig web a gran escala.

El nostre equip de recerca escaneja els ports per trobar blocs IP coneguts. A continuació, l’equip busca vulnerabilitats en el sistema que indiquen una base de dades oberta.

Hem pogut accedir a la cubeta S3 de THSuite perquè estava completament sense seguretat i sense xifrar. Mitjançant un navegador web, l’equip podria accedir a tots els fitxers allotjats a la base de dades.

Després de trobar un incompliment de dades, fem tot el possible per enllaçar la base de dades amb el propietari. A continuació, contactem amb el propietari per informar-los de la vulnerabilitat i suggerir maneres de que el propietari pugui millorar la seguretat dels seus sistemes.

Com a pirates informàtics i ètics, mai venem, emmagatzemarem ni exposem la informació que trobem. El nostre objectiu és millorar la seguretat i seguretat general d’internet per a tothom.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori d’investigació és un servei de promoció professional que s’esforça a ajudar la comunitat en línia a defensar-se de les amenaces cibernèriques alhora que educa les organitzacions a protegir les dades dels seus usuaris..

Fa poc hem trobat una gran incompliment de dades que va exposar l’historial de navegació dels usuaris d’internet mòbil a Sud-àfrica. També vam descobrir més de 1 TB de dades filtrades pel minorista en línia xinès LightInTheBox.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me