Raporti: Të dhënat sensibilizuese të përdoruesve të kanabisit të ekspozuar në shkelje të të dhënave

Të udhëhequr nga studiuesit e intimitetit në internet Noam Rotem dhe Ran Locar, ekipi hulumtues i vpnMentor zbuloi një thyerja e të dhënave në THSuite, një sistem i shitjeve në industrinë e kanabisit.

Ekipi ynë identifikoi një kovë të pasigurtë Amazon S3 në pronësi të THSuite që ekspozuar të dhëna të ndjeshme nga shpërndarësit e shumtë të marihuanës rreth SHBA dhe klientëve të tyre.

Të dhënat e lëshuara janë përfshirë ID të qeverisë dhe punonjësve të skanuar, duke ekspozuar informacione të identifikueshme personalisht (PII) për mbi 30,000 individë.

Profili i kompanisë THSuite

THSuite ofron shërbime të programeve të menaxhimit të procesit të biznesit për pronarët dhe operatorët e shpërndarjes së kanabisit në SH.B.A..

Shpërndarësit e kanabisit duhet të mbledhin sasi të mëdha informacioni të ndjeshëm në mënyrë që të përputhen me ligjet e shtetit. Platforma THSuite është krijuar për të thjeshtuar këtë proces për operatorët shpërndarës duke u integruar automatikisht me sistemin gjurmues të API të secilit shtet.

Si pasojë e kësaj, platforma ka qasje në shumë të dhëna private që lidhen me shpërndarësit dhe klientët e tyre.

Afati kohor i zbulimit dhe reagimit të pronarit

Ndonjëherë shtrirja e një shkelje të të dhënave dhe pronari i të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por janë të rralla këto kohë. Më shpesh, na duhen ditë hetimi përpara se të kuptojmë se çfarë janë në diskutim ose kush po i zbulon të dhënat.

Kuptimi i një shkeljeje dhe ndikimi i tij i mundshëm kërkon vëmendje të kujdesshme dhe kohë. Ne punojmë shumë për t’i botuar raporte të sakta dhe të besueshme, duke siguruar që të gjithë ata që i lexojnë ata e kuptojnë seriozitetin e tyre.

Disa palë të prekura mohojnë faktet, duke mos marrë parasysh hulumtimin tonë ose duke minimizuar ndikimin e tij. Pra, ne duhet të jemi të plotë dhe të sigurohemi që gjithçka që gjejmë është e saktë dhe e vërtetë.

Në këtë rast, ne e identifikuam lehtësisht THSuite si pronar të bazës së të dhënave dhe kontaktuam kompaninë me gjetjet tona.

  • Data e zbuluar: 24 Dhjetor 2019
  • Pronarët e datave u kontaktuan: 26 Dhjetor 2019
  • Data Amazon AWS u kontaktua: 7 janar 2020
  • Baza e të dhënave të mbyllur: 14 janar 2020

Shembull i hyrjeve në bazën e të dhënave

Mbi 85,000 skedarë u zbuluan në këtë shkelje të të dhënave, përfshirë mbi 30,000 regjistrime me PII të ndjeshme. Rrjedhja gjithashtu përfshinte ID të qeverisë dhe ndërmarrjeve të skanuara të ruajtura në një kovë Amazon S3 përmes Shërbimit të Stabilitetit të thjeshtë Amazon.

Kova e rrjedhur përmbante aq shumë të dhëna sa që nuk ishte e mundur për ne që të shqyrtojmë të gjitha rekordet individualisht. Përkundrazi, ne shikuam një pjesë të vogël të shënimeve të rastit për të kuptuar se cilat lloje të të dhënave u ekspozuan në shkelje në përgjithësi.

Në kampionin e hyrjeve që kontrolluam, gjetëm informacione që lidhen me tre shpërndarës të marijuanës në vende të ndryshme rreth SH.B.A.: Amedicanna Dispensary, Bloom Medicinals, dhe Colorado Grow Company. Shembuj të këtyre shënimeve mund të gjenden më poshtë.

megjithatë, kjo shkelje preku shumë shpërndarës të tjerë. Shtë e mundur që të gjithë klientët THSuite dhe klientët e tyre ishin të përfshirë.

Ne gjithashtu gjetëm fotografi të ID të fotografive të lëshuara nga qeveria dhe nënshkrimet përkatëse të vizitorëve disiplinorë dhe pacientëve njësoj. Për më tepër, ka vërtetime për atë që duket se çdo pacient që njeh ligje shtetërore në lidhje me blerjen dhe përdorimin e ilaçit të bazuar në kanabis..

Dosjet e Disiplinës Amedicanna

Thyerja THSuite përfshinte të dhëna nga AmediCanna Dispensary, një shpërndarës mjekësor i marijuanës i vendosur në shtetin e Maryland.

Rrjedhja ekspozoi detajet e mëposhtme personale në lidhje me klientët e Amedicanna:

  • Emri i plotë
  • Numri i telefonit
  • Adresa e postës elektronike
  • Data e lindjes
  • Adresa e rrugës
  • Numri i identifikimit mjekësor / shtetëror dhe data e skadencës
  • Kufiri gram kanabis
  • nënshkrim

Pacientët që shkelin këtë

Baza e të dhënave përfshinte gjithashtu detaje rreth inventarit dhe shitjeve të Amedicanna. Ne kemi qenë në gjendje të shohim një listë të transaksioneve me informacionin e mëposhtëm:

  • Emri i pacientit dhe numri i identifikimit mjekësor
  • Emri i punonjësit
  • Larmia e kanabisit e blerë
  • Sasia e kanabisit të blerë
  • Kostoja totale e transaksionit
  • Data e marrë, së bashku me një letërnjoftim të brendshëm

Faturat e prishjes së këtyre pronave

Ilaçet e lulëzimit

Bloom Medicinals është një shpërndarës i marihuanës mjekësore me bazë në Ohajo me vendndodhjet në Akron, Columbus, Maumee, Painesville dhe Seven Mile.

Shkelja e të dhënave ekspozoi informacione për shpërndarësin inventari, raportet mujore të shitjeve dhe raportet e pajtueshmërisë, si dhe detajet e mëposhtme të pacientit:

  • Emri i plotë
  • Data e lindjes
  • ID mjekësore / shtetërore dhe data e skadencës
  • Numri i telefonit
  • Adresa e postës elektronike
  • Adresa e rrugës
  • Data e blerjes së parë
  • Nëse pacienti ka marrë ose jo ndihmë financiare për blerjet e kanabisit
  • Nëse pacienti ka zgjedhur ose jo njoftime për tekstin SMS

Ne ishim në gjendje të shikonim shitjet mujore të dispensarit, zbritjet, kthimet dhe taksat e paguara. Shitjet u ndanë më tej sipas mënyrës së pagesës dhe llojit të produktit.

Shitjet e shitjeve të tilla

Baza e të dhënave përfshinte një listë të secilit produkt kanabisi, së bashku me një përshkrim të shkurtër, furnizuesin e produktit dhe çmimin e tij.

Kompania e Kolorados Grow

Kompania Colorado Grow është një shpërndarës rekreativ i marihuanës, i vendosur në qytetin e Durango, Kolorado.

Thyerja e të dhënave THSuite ekspozoi raportet mujore të shitjeve të dispensarit për produkte kanabisi dhe produkte jo kanabis, përfshirë shitjet bruto, zbritjet, taksat, shitjet neto dhe shumat për secilin lloj pagese.

Rrjedhja e ekspozuar emrat e plotë të punonjësve disiplinorë dhe numrin e orëve ku ata punuan gjatë çdo periudhe pagese dyjavore.

Orari i punonjësve që shkelin këtë

Baza e të dhënave përfshinte gjithashtu një lista e detajuar e inventarit me emrat e produkteve, përshkrimet, zbërthimet e kostos dhe sasinë e disponueshme në shpërndarës.

Ne nuk gjetëm ndonjë regjistrim me informacion specifik në lidhje me klientët e Colorado Grow Company, ose ndonjë përdorues tjetër të marijuanës rekreative. Sidoqoftë, pasi nuk ishim në gjendje të shqyrtojmë në mënyrë të detajuar të gjitha të dhënat e dala, ne nuk mund të jemi të sigurt se këto regjistrime nuk ekzistojnë.

Ndikimi i thyerjes së të dhënave

Kjo shkelje e të dhënave ka pasoja serioze për shpërndarësit dhe klientët e tyre.

Brenga e privatësisë për përdoruesit e kanabisit

Si rezultat i kësaj shkelje të të dhënave, informacione personale të ndjeshme u ekspozuan për pacientët me marijuanë mjekësore, dhe mundësisht edhe për përdoruesit rekreativë të marihuanës. Kjo ngre disa shqetësime serioze për privatësinë.

Pacientët mjekësorë kanë të drejtë ligjore që informacionet e tyre mjekësore t’i mbajnë private për arsye të mira. Pacientët, informacioni personal i të cilëve u zbulua, mund të përballen me pasoja negative si personalisht ashtu edhe profesionalisht.

Sipas rregulloreve HIPAA, është një krim federal në SHBA për çdo ofrues të shërbimeve shëndetësore që të ekspozojë informacionin e mbrojtur shëndetësor (PHI) që mund të përdoret për të identifikuar një individ. Shkeljet e HIPAA mund të rezultojnë me gjobë deri në 50,000 dollarë për çdo rekord të ekspozuar, apo edhe në kohë burg.

Shpërndarësit e kanabisit ekzistojnë në një zonë legale, pasi në SH.B.A ka konflikte të mëdha midis ligjeve federale dhe shtetërore sa i përket marihuanës mjekësore dhe rekreative. Edhe në shtetet ku përdorimi i kanabisit është i lejuar sipas ligjit të shtetit, është akoma e ndaluar sipas ligjit federal.

Sidoqoftë, shumica e ekspertëve juridikë e pranojnë këtë shpërndarësit duhet të ndjekin rregulloret e HIPAA-s ashtu si çdo ofrues tjetër i kujdesit shëndetësor.

Shumë vende të punës kanë politika specifike që ndalojnë përdorimin e kanabisit. Konsumatorët dhe pacientët mund të përballen me pasoja në punë për shkak të ekspozimit të përdorimit të tyre të kanabisit. Disa madje mund të humbnin punën e tyre, veçanërisht nëse ata punojnë për një agjenci federale.

Edhe pa rreziqet ligjore, ka ende një stigma rreth përdorimit të marihuanës. Individët mund të pësojnë reagime nëse familjet, miqtë dhe kolegët e tyre zbulojnë se përdorin kanabis.

Mashtrimet dhe sulmet e phishing

Hakerët dhe përhapësit mund të përfitojnë nga detajet personale të ekspozuara në shkeljen e të dhënave për krijimin e klientëve dhe punonjësve të dispenzuesve sulme shumë të efektshme të personalizuara të phishing.

Statusi i zgjedhjes së numrave të telefonit dhe njoftimit të tekstit të sigurojë mundësinë e përsosur për sulmet e phishing. Aktorët me qëllim të keq mund të përdorin gjithashtu email që rrjedhin dhe adresa në shtëpi për të synuar individët.

Hakerët mund të përdorin lehtësisht detaje personale të ekspozuara mbledhin më shumë të dhëna personale përmes llogarive të mediave sociale dhe burime të tjera në internet. Mund të përdoren informacione të hollësishme në lidhje me blerjet e fundit të ekspozuara në shkeljen e të dhënave fitojnë qasje në llogaritë financiare private.

Me informata të mjaftueshme, një palë me qëllim të keq mund edhe kryejnë vjedhje identiteti, të cilat mund të sjellin pasoja shumë serioze afatgjata.

Ndikimi në disiplinat

Shkelja e të dhënave gjithashtu prek shpërndarësit që i besuan THSuite me informacionin e tyre privat. Këto shpërndarës mund të gjenden përballë pasoja të mëdha për shkak të shkeljes së mundshme të HIPAA të krijuar nga kjo shkelje.

Një çështje tjetër është që shpërndarësit konkurrues tani mund të kenë qasje në informacione të hollësishme në lidhje me klientët dhe inventarët e këtyre shpërndarësve.

Këto biznese mund të përfitojnë nga kjo për të përmirësuar strategjinë e tyre të çmimeve dhe ofertat e produkteve. Ata gjithashtu mund të përdorin informacionin e rrjedhshëm të klientit për të krijuar fushatat e synuara të reklamave.

Shpërndarësit e prekur mund të humbnin klientët si rezultat i shkeljes së të dhënave. Edhe nëse shpërndarësit nuk ishin përgjegjës drejtpërdrejt, klientët mund të hezitojnë të hezitojnë besoji këtyre shpërndarësve me informacionin e tyre personal pasi u rrjedh.

Këshilla nga ekspertët

Këta mund ta kishin shmangur lehtë këtë rrjedhje nëse do të kishin marrë ca masat themelore të sigurisë për të mbrojtur kovën Amazon S3. Këto përfshijnë, por nuk kufizohen vetëm në:

  • Siguroni serverat tuaj
  • Zbatimi i rregullave të përshtatshme për qasje
  • Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin

Do kompani mund të kopjojë të njëjtat hapa, pavarësisht nga madhësia e saj. Për të mësuar më shumë rreth asaj se si të mbroni biznesin tuaj, shikoni udhëzuesin tonë të thelluar duke siguruar uebfaqen tuaj dhe databazën në internet nga hakerat.

Për disiplinat e prekur

Ne ju rekomandojmë të kontaktoni direkt me THSuite për të mësuar më shumë rreth praktikave të sigurisë së kompanisë dhe si planifikon të sigurojë sigurinë e të dhënave tuaja në të ardhmen.

Së paku, THSuite duhet të hetojë për të zbuluar se si ndodhi kjo shkelje e të dhënave dhe të zbatojë procedura të reja të sigurisë për të sigurohuni që diçka e tillë të mos ndodhë më.

Në të ardhmen, ne gjithashtu ju rekomandojmë që ju vetting plotësisht çdo shërbime të palëve të treta ju punësoheni për t’u siguruar që ata ndjekin praktikat më të mira dhe kanë masa të shumta sigurie për të mbrojtur të dhënat tuaja të ndjeshme.

Për klientët e prekur

Nëse jeni klient ose pacient i një disiplinori të marijuanës, ne ju rekomandojmë që të flisni drejtpërdrejt me ofruesin tuaj për të zbuluar nëse ata po përdorin THSuite ose e kanë përdorur atë në të kaluarën.

Nëse besoni se informacioni juaj privat mund të jetë ekspozuar në këtë shkelje të të dhënave, ka hapa që mund të ndërmerrni për të minimizuar ndikimin e tij.

Lexoni tonë udhëzues i plotë për privatësinë në internet për të mësuar në lidhje me teknikat që hakerat përdorin për të pushtuar intimitetin tuaj dhe çfarë mund të bëni për të mbrojtur veten. Ju rekomandojmë gjithashtu përdorni një VPN për të mbrojtur të dhënat tuaja private nga kriminelët kibernetikë të cilët mund të përpiqen të ju synojnë pasi të keni zbuluar informacioni juaj.

Ju gjithashtu mund të dëshironi të flisni shpërndarësin tuaj për të zbuluar se si do të garantojë sigurinë dhe privatësinë tuaj në të ardhmen.

Si dhe pse e zbuluam shkeljen

Ekipi i kërkimit vpnMentor zbuloi këtë shkelje në bazën e të dhënave të THSuite, si pjesë e jona projekt i hartës në shkallë të gjerë.

Ekipi ynë hulumtues skanon portet për të gjetur blloqe IP të njohura. Ekipi pastaj kërkon për dobësitë në sistem që do të tregojnë një bazë të dhënash të hapur.

Ne ishim në gjendje për të hyrë në kovën e S3 të THSuite sepse ishte plotësisht e pasigurt dhe e pakriptuar. Duke përdorur një shfletues në internet, ekipi mund të hynte në të gjithë skedarët e pritur në bazën e të dhënave.

Pasi të kemi gjetur një shkelje të të dhënave, ne bëjmë çmos për të lidhur bazën e të dhënave përsëri tek pronari. Ne pastaj kontaktojmë pronarin për t’i informuar ata për cenueshmërinë dhe sugjeruar mënyra se si pronari mund të përmirësojë sigurinë e sistemeve të tyre.

Si hakerë etikë dhe studiues, ne kurrë nuk shesim, ruajmë ose ekspozojmë informacionin që hasim. Qëllimi ynë është të përmirësojmë sigurinë dhe sigurinë e përgjithshme të internetit për të gjithë.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit kemi gjetur një shkelje e madhe e të dhënave që ekspozoi historinë e shfletimit të përdoruesve të internetit në celular në Afrikën e Jugut. Ne gjithashtu zbuluam mbi 1TB të të dhënave të lëshuara nga shitësi me pakicë kineze në internet LightInTheBox.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me