ანგარიში: კანაფის მომხმარებელთა მგრძნობიარე მონაცემები, რომლებიც გამოვლენილია მონაცემთა დარღვევაში

ინტერნეტის კონფიდენციალურობის მკვლევარებმა ნოამ როტემ და რან ლოკარმა, vpnMentor– ის სამეცნიერო ჯგუფმა აღმოაჩინეს მონაცემთა დარღვევა THSuite- ში, გაყიდვების პუნქტის სისტემა კანაფის ინდუსტრიაში.

ჩვენმა ჯგუფმა გამოავლინა დაუცველი Amazon S3 თაიგული, რომელიც ეკუთვნის THSuite- ს მარიხუანის მრავალჯერადი დისპანსერების მგრძნობიარე მონაცემების გამოვლენა გარშემო აშშ და მათი მომხმარებლები.

გაჟონა მონაცემები დასკანერებული სამთავრობო და თანამშრომელთა პირადობის მოწმობები, პერსონალურად იდენტიფიცირებული ინფორმაციის (PII) გამოვლენა 30,000-ზე მეტ პირზე.

კომპანიის პროფილი

THSuite გთავაზობთ ბიზნესის პროცესების მართვის პროგრამული უზრუნველყოფის სერვისებს კანაბისის დისპენსერის მფლობელებზე და ოპერატორებზე აშშ-ში.

კანაფის დისპანსერები უნდა შეაგროვოთ დიდი რაოდენობით სენსიტიური ინფორმაცია სახელმწიფო კანონების შესასრულებლად. THSuite პლატფორმა შექმნილია ამ პროცესის გასამარტივებლად დისპანსერული ოპერატორებისთვის ავტომატურად ინტეგრირებით თითოეული სახელმწიფოს API- ის კვალიფიკაციურ სისტემაში.

ამის შედეგად, პლატფორმას აქვს წვდომა ბევრ კერძო მონაცემთან, რომლებიც დაკავშირებულია დისპანსერებთან და მათ მომხმარებლებთან.

აღმოჩენის დროისა და მფლობელის რეაქციის ვადები

ზოგჯერ აშკარაა მონაცემთა დარღვევის ზომა და მონაცემთა მფლობელი, და საკითხი სწრაფად მოგვარდება. მაგრამ იშვიათია ეს ჯერ. Ყველაზე ხშირად, ჩვენ გვჭირდება გამოძიების დღეები, სანამ გავიგებთ, რა არის ამ ეტაპზე ან ვინ გამოაქვს მონაცემები.

დარღვევის გაგებას და მის პოტენციურ გავლენას ახდენს ფრთხილად ყურადღება და დრო. ჩვენ ვცდილობთ გამოქვეყნებას ზუსტი და სანდო ცნობები, ყველას, ვინც წაიკითხავს მათ, ესმის მათი სერიოზულობა.

ზოგი დაზარალებული მხარე უარყოფს ფაქტებს, ჩვენს გამოძიებას არ იშურებს ან გავლენას არ ასრულებს. ამიტომ, ჩვენ უნდა ვიყოთ საფუძვლიანი და დავრწმუნდეთ, რომ ყველაფერი, რაც ჩვენ ვიპოვნეთ, სწორი და მართალია.

Ამ შემთხვევაში, ჩვენ მარტივად დავადგინეთ THSuite, როგორც მონაცემთა ბაზის მფლობელი და ჩვენს დასკვნებს დავუკავშირდით კომპანიას.

  • აღმოჩენილი თარიღი: 2019 წლის 24 დეკემბერი
  • თარიღის მფლობელები დაუკავშირდნენ: 2019 წლის 26 დეკემბერი
  • თარიღი Amazon AWS დაუკავშირდა: 2020 წლის 7 იანვარი
  • თარიღი მონაცემთა ბაზა დახურულია: 2020 წლის 14 იანვარი

მონაცემთა ბაზაში შესვლის მაგალითები

85000-ზე მეტი ფაილი გაჟონა ამ მონაცემების დარღვევაში, მათ შორის მგრძნობიარე PII- ზე 30 000-ზე მეტი ჩანაწერი. გაჟონვის შემადგენლობაში შედის ასევე დასკანერებული მთავრობისა და კომპანიის პირადობის მოწმობები, რომლებიც Amazon S3 bucket- ში ინახავს Amazon Simple Storage Service.

გაჟონა თაიგულმა იმდენი მონაცემი შეიცა, რომ შეუძლებელი იყო ყველა ჩანაწერის ინდივიდუალურად შემოწმება. ამის ნაცვლად, შემთხვევითი ჩანაწერების საშუალებით გადავხედე, რომ გვესმოდეს, თუ რა ტიპის მონაცემები იყო გამოვლენილი მთლიანობაში დარღვევაში.

ჩვენ მიერ შემოწმებული ჩანაწერების ნიმუშში აღმოვაჩინეთ ინფორმაცია, რომელიც ეხებოდა სამ მარიხუანას დისპანსერს აშშ-ს სხვადასხვა ადგილებში: Amedicanna Dispensary, Bloom Medicinals და Colorado Grow Company. ამ ჩანაწერების მაგალითები შეგიძლიათ იხილოთ ქვემოთ.

თუმცა, ამ დარღვევამ კიდევ ბევრი გავლენა მოახდინა დისპანსერებზე. შესაძლებელია, რომ ყველა THSuite კლიენტი და მათი მომხმარებლები იყვნენ ჩართული.

ასევე ვიპოვნეთ ფოტოები მთავრობის მიერ გაცემული ფოტო პირადობის მოწმობები და აგრეთვე დისპანსერული ვიზიტორებისა და პაციენტების შესაბამისი ხელმოწერები. გარდა ამისა, არსებობს დამადასტურებელი დამადასტურებელი ფაქტები იმის შესახებ, თუ რატომაა თითოეული პაციენტი, რომელიც ცნობს სახელმწიფო კანონებს კანაფის შემცველი მედიკამენტის შეძენასა და გამოყენებასთან დაკავშირებით..

Amedicanna დისპანსერული ფაილები

THSuite– ის დარღვევა მოიცავდა მონაცემებს AmediCanna Dispensary– დან, სამედიცინო მარიხუანას დისპენსერი, რომელიც მდებარეობს მერილენდის შტატში..

გაჟონვამ გაავრცელა შემდეგი პირადი ინფორმაცია Amedicanna- ს მომხმარებლების შესახებ:

  • Სრული სახელი
  • Ტელეფონის ნომერი
  • Ელექტრონული მისამართი
  • Დაბადების თარიღი
  • ქუჩის მისამართი
  • სამედიცინო / სახელმწიფო პირადობის მოწმობის ნომერი და ვადის გასვლის თარიღი
  • კანაფის გრამი
  • ხელმოწერა

ეს არღვევს პაციენტებს

მონაცემთა ბაზაში ასევე შედიოდა დეტალები Amedicanna- ს ინვენტარისა და გაყიდვების შესახებ. ჩვენ შეგვიძლია ვნახოთ გარიგებების სია შემდეგი ინფორმაციით:

  • პაციენტის სახელი და სამედიცინო პირადობის ნომერი
  • Თანამშრომელთა სახელი
  • შეძენილი კანაფის ჯიში
  • შეძენილი კანაფის რაოდენობა
  • გარიგების მთლიანი ღირებულება
  • მიღებული თარიღი, შიდა ქვითრის პირადობის მოწმობასთან ერთად

ეს არღვევს ქვითრებს

Bloom მედიკამენტები

Bloom Medicinals არის ოჰაიოში დაფუძნებული სამედიცინო მარიხუანას დისპენსერი Akron, Columbus, Maumee, Painesville და Seven Mile მდებარეობებში..

მონაცემთა დარღვევამ გამოავლინა ინფორმაცია დისპანსერის შესახებ ინვენტარი, გაყიდვების ყოველთვიური ანგარიშები და შესაბამისობის ანგარიშები, ისევე, როგორც პაციენტის შემდეგი დეტალები:

  • Სრული სახელი
  • Დაბადების თარიღი
  • სამედიცინო / სახელმწიფო პირადობის მოწმობა და ვადის გასვლის თარიღი
  • Ტელეფონის ნომერი
  • Ელექტრონული მისამართი
  • ქუჩის მისამართი
  • პირველი შესყიდვის თარიღი
  • მიიღო თუ არა პაციენტმა ფინანსური დახმარება კანაფის შეძენისთვის
  • პაციენტმა შეარჩია თუ არა SMS ტექსტური შეტყობინებები

ჩვენ შევჩერდით დისპენსერის ყოველთვიური გაყიდვების, ფასდაკლებით, ანაზღაურებისა და გადასახადების გადახდაზე. შემდგომ გაიყიდა გაყიდვები გადახდის მეთოდით და პროდუქტის ტიპით.

ეს დარღვეულია გაყიდვებისგან

მონაცემთა ბაზაში შედის კანაფის თითოეული პროდუქტის ჩამონათვალი, მოკლე აღწერილობით, პროდუქტის მიმწოდებელი და მისი ფასი.

კომპანია Colorado Grow Company

Colorado Grow Company არის სარეკრეაციო მარიხუანას დისპანსერი, რომელიც მდებარეობს კოლორადოს ქალაქ დურანგოში.

THSuite– ის მონაცემების დარღვევამ დაავალა დისპენსერის ყოველთვიური გაყიდვების ანგარიშები კანაფისა და არაქოსაფთის პროდუქტების ჩათვლით, მათ შორის მთლიანი გაყიდვები, ფასდაკლებები, გადასახადები, წმინდა გაყიდვები და ჯდება თითოეული გადახდის ტიპისთვის..

გაჟონვის გამოვლენა დისპანსერის თანამშრომელთა სრული სახელები და სამუშაო საათების რაოდენობა ყოველი ორკვირიანი ანაზღაურების პერიოდში.

ეს არღვევს თანამშრომლის საათებს

მონაცემთა ბაზაში ასევე შედის ა დეტალური ინვენტარის სია პროდუქტის დასახელებით, აღწერილობებით, ხარჯების ხარვეზებითა და დისპანსერში განთავსებული რაოდენობით.

ჩვენ ვერ ვიპოვნეთ რაიმე ჩანაწერი, რომელიც შეიცავს კონკრეტულ ინფორმაციას კოლორადოს გროის მომხმარებელთა ან სხვა სარეკრეაციო მარიხუანას მომხმარებლების შესახებ. ამასთან, რადგან ვერ შევძელით დეტალურად გავეცნოთ ყველა გაჟღენთილი მონაცემი, ჩვენ არ შეგვიძლია დარწმუნებული ვიყოთ, რომ ეს ჩანაწერები არ არსებობს.

მონაცემთა დარღვევის გავლენა

მონაცემთა ამ დარღვევას სერიოზული შედეგები მოაქვს დისპანსერებსა და მათ მომხმარებლებზე.

კონფიდენციალურობის საკითხები კანაფის მომხმარებლებისთვის

ამ მონაცემთა დარღვევის შედეგად, მგრძნობიარე პერსონალური ინფორმაცია ექვემდებარება სამედიცინო მარიხუანას პაციენტებს, და, შესაძლოა, მარიხუანას რეკრეაციული მომხმარებლებისთვისაც. ეს ბადებს ზოგიერთს კონფიდენციალურობის სერიოზული პრობლემები.

სამედიცინო პაციენტებს აქვთ იურიდიული უფლება, თავიანთი სამედიცინო ინფორმაცია პირადი შეტყობინების საფუძველზე დატოვან. პაციენტებს, რომელთა პირადი ინფორმაცია გაჟღერეს, შეიძლება უარყოფითი შედეგები მოჰყვეს როგორც პირად, ასევე პროფესიულ.

HIPAA დებულებით, ეს არის ფედერალური დანაშაული აშშ – ში, ნებისმიერი სამედიცინო მომსახურების მიმწოდებლისთვის, რომ გამოავლინოს დაცული ჯანმრთელობის შესახებ ინფორმაცია (PHI), რომელიც შეიძლება გამოყენებულ იქნას ინდივიდის გამოსავლენად. HIPAA- ს დარღვევებმა შეიძლება გამოიწვევს ჯარიმას 50 000 აშშ დოლარამდე, ყოველ გამოვლენილ ჩანაწერზე, ან თუნდაც ციხეში.

კანაფის დისპანსერები არსებობს იურიდიულ ადგილზე, რადგან აშშ – ში არსებობს ძირითადი კონფლიქტები ფედერალურ და სახელმწიფო კანონებს შორის, როგორც სამედიცინო, ისე რეკრეაციულ მარიხუანასთან. იმ შტატებშიც კი, სადაც კანაფის მოხმარება ნებადართულია სახელმწიფო კანონმდებლობით, ეს ჯერ კიდევ აკრძალულია ფედერალური კანონით.

ამასთან, იურიდიული ექსპერტების უმეტესობა ამას თანხმდება დისპანსერები უნდა დაიცვან HIPAA- ს რეგულაციები, ისევე, როგორც ნებისმიერი სხვა ჯანდაცვის პროვაიდერი.

ბევრ სამუშაო ადგილს აქვს სპეციფიკური პოლიტიკა, რომელიც კრძალავს კანაფის გამოყენებას. მომხმარებლებმა და პაციენტებმა შეიძლება გამოიწვიოს შედეგების პრობლემები სამსახურში კანაფის მოხმარების გამო. ზოგს სამსახურიც კი შეეძლო, განსაკუთრებით, თუ ისინი მუშაობენ ფედერალური სააგენტოსთვის.

იურიდიული რისკების გარეშეც კი არსებობს მარიხუანის მოხმარების სტიგმა. შესაძლოა, ინდივიდებმა სერიოზული შედეგი გამოიჩინონ, თუ მათი ოჯახები, მეგობრები და კოლეგები შეიტყობენ, რომ იყენებენ კანაფს.

თაღლითობები და ფიშინგს შეტევები

ჰაკერებსა და თაღლითებს შეუძლიათ ისარგებლონ პირადი მონაცემებით, რომლებიც ექვემდებარება მონაცემთა დარღვევას დისპენსერიანი მომხმარებლებისა და თანამშრომლების შესაქმნელად ძალიან ეფექტური პერსონალიზებული ფიშინგის შეტევები.

გამოვლენილი ტელეფონის ნომრები და ტექსტური შეტყობინების ოპტ-სტატუსი გთავაზობთ შესანიშნავი შესაძლებლობა ფიშინგს შეტევებისთვის. მავნე მსახიობებს შეუძლიათ აგრეთვე გამოიყენონ გაჟონა ელექტრონული ფოსტა და სახლის მისამართები, სამიზნე პირებისთვის.

ჰაკერები ადვილად იყენებენ დაუცველ პერსონალურ დეტალებს შეაგროვეთ მეტი პერსონალური მონაცემები სოციალური მედიის ანგარიშების საშუალებით და სხვა ონლაინ წყაროები. შეიძლება გამოყენებულ იქნეს დეტალური ინფორმაცია მონაცემთა დარღვევასთან დაკავშირებული ბოლოდროინდელი შესყიდვების შესახებ მოიპოვეთ კერძო ფინანსური ანგარიშები.

საკმარისი ინფორმაციით, მავნე პარტიას შეეძლო პირადობის ქურდობა, რომელსაც შეიძლება ჰქონდეს ძალიან სერიოზული გრძელვადიანი შედეგები.

გავლენა დისპანსერებზე

მონაცემთა დარღვევა ასევე მოქმედებს დისპანსერებზე, რომლებიც ენდობოდნენ THSuite- ს თავიანთ პირად ინფორმაციას. ეს დისპანსერები შეიძლება აღმოჩნდეს მოპირდაპირედ ძირითადი შედეგები ამ დარღვევით შექმნილი HIPAA შესაძლო დარღვევის გამო.

კიდევ ერთი საკითხია ის, რომ კონკურენციის გამავრცელებლებს ახლა შეეძლებათ დეტალური ინფორმაციის მიღება ამ დისპანსერების მომხმარებლებისა და ინვენტარის შესახებ.

ამ ბიზნესს შეუძლია ისარგებლოს ამით, რომ გააუმჯობესოს ფასების სტრატეგია და პროდუქციის შეთავაზებები. მათ ასევე შეუძლიათ გამოიყენონ გაჟონვა მომხმარებლის შესახებ ინფორმაციის შესაქმნელად მიზნობრივი სარეკლამო კამპანიები.

დაზარალებულ დისპანსერებს მომხმარებლების დაკარგვა შეეძლოთ მონაცემთა დარღვევის შედეგად. მაშინაც კი, თუ დისპანსერები უშუალოდ არ იყვნენ პასუხისმგებელნი, მომხმარებლებმა შეიძლება დააყოვნონ ენდობით ამ დისპანსერებს თავიანთ პირად ინფორმაციას გაჟონვის შემდეგ.

რჩევა ექსპერტებისაგან

THSuite– ს შეეძლო თავიდან აეცილებინა ეს გაჟონვა, თუ ისინი ზოგიერთს აიღებდა უსაფრთხოების ძირითადი ზომები Amazon S3 ბუკის დასაცავად. ეს მოიცავს, მაგრამ არ შემოიფარგლება მხოლოდ:

  • უსაფრთხო თქვენი სერვერები
  • დაშვების შესაბამისი წესების განხორციელება
  • არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია

ნებისმიერ კომპანიას შეუძლია იგივე ნაბიჯების განმეორება, მიუხედავად მისი ზომისა. მეტი ინფორმაციის მისაღებად, თუ როგორ უნდა დავიცვათ თქვენი ბიზნესი, იხილეთ ჩვენი სიღრმისეული სახელმძღვანელო თქვენი ვებსაიტისა და ონლაინ მონაცემთა ბაზის უზრუნველყოფა ჰაკერებისგან.

დაზარალებული დისპანსერებისათვის

ჩვენ გირჩევთ დაუკავშირდეთ უშუალოდ THSuite- ს გაეცნოთ კომპანიის უსაფრთხოების პრაქტიკებს და როგორ გეგმავს მომავალში თქვენი მონაცემების უსაფრთხოების უზრუნველყოფა.

ყოველ შემთხვევაში, THSuite- მა უნდა გამოიკვლიოს იმის დასადგენად, თუ როგორ მოხდა ამ მონაცემთა დარღვევა და განახორციელოს უსაფრთხოების ახალი პროცედურები დარწმუნდით, რომ მსგავსი რამ არასდროს ხდება.

მომავალში, ჩვენ ასევე გირჩევთ, რომ თქვენ საფუძვლიანად შეამოწმეთ ნებისმიერი მესამე მხარის მომსახურება თქვენ დაქირავდებით, რომ დარწმუნდეთ, რომ ისინი იცავენ საუკეთესო პრაქტიკას და აქვთ უსაფრთხოების მრავალი ზომა, რათა დაიცვან თქვენი მგრძნობიარე მონაცემები.

დაზარალებული მომხმარებლისთვის

თუ თქვენ ხართ მარიხუანას დისპანსერის მომხმარებელი ან პაციენტი, ჩვენ გირჩევთ, რომ პირდაპირ ისაუბროთ თქვენს პროვაიდერთან, რომ გაარკვიოთ ისინი იყენებენ THSuite- ს, ან იყენებდნენ წარსულში.

თუ თვლით, რომ თქვენი პირადი ინფორმაცია შეიძლება გამოავლინოს ამ მონაცემთა დარღვევაში, არსებობს ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ განახორციელოთ მისი გავლენის შესამცირებლად.

წაიკითხეთ ჩვენი სრული სახელმძღვანელო ონლაინ კონფიდენციალურობის შესახებ გაეცნოთ იმ მეთოდების შესახებ, რომლებიც ჰაკერების საშუალებით იყენებენ თქვენს კონფიდენციალურობას დაპყრობას და რისი გაკეთებაც შეგიძლიათ საკუთარი თავის დასაცავად. ჩვენ ასევე გირჩევთ გამოიყენეთ VPN თქვენი პირადი მონაცემების დასაცავად კიბერდანაშაულებისაგან, რომლებიც შეიძლება თქვენი ინფორმაციის გაცნობის შემდეგ მიზანმიმართულნი იყვნენ.

თქვენ შეიძლება ასევე გინდათ ისაუბროთ თქვენს დისპანსერზე, რათა გაარკვიოთ, თუ როგორ აპირებს მომავალში თქვენი უსაფრთხოებისა და კონფიდენციალურობის გარანტია.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

VpnMentor– ის კვლევის ჯგუფმა აღმოაჩინა ეს დარღვევა THSuite– ის ბაზაში, როგორც ჩვენი ნაწილი მასშტაბური ვებ რუკების პროექტი.

ჩვენი სამეცნიერო ჯგუფის მიერ სკანირებას უკეთებს პორტებს, რათა ნახოთ ცნობილი IP ბლოკები. შემდეგ გუნდი ეძებს სისტემაში მოწყვლადი სისტემის დაზიანებებს, რაც მიუთითებს ღია მონაცემთა ბაზაში.

ჩვენ შეგვეძლო THSuite- ის S3 თაიგულში შესვლა, რადგან იგი მთლიანად დაუცველი იყო და არაგნიფიცირებული. ვებ – ბრაუზერის გამოყენებით გუნდს შეეძლო მონაცემთა ბაზაში განთავსებულ ყველა ფაილზე წვდომა.

მონაცემთა დარღვევის დადგენის შემდეგ, ჩვენ ყველაფერს გავაკეთებთ, რომ მონაცემთა ბაზა მფლობელს დავუკავშიროთ. შემდეგ ჩვენ დაუკავშირდებით მეპატრონეს, რომ მათ ინფორმირება მოახდინონ დაუცველობის შესახებ და შემოგვთავაზონ გზები, რომლითაც მფლობელს შეუძლია გააუმჯობესოს მათი სისტემების უსაფრთხოება.

როგორც ეთიკური ჰაკერები და მკვლევარები, ჩვენ არასდროს ვყიდით, ინახავს ან ვერ ვამყარებთ ჩვენს წინაშე არსებულ ინფორმაციას. ჩვენი მიზანია ინტერნეტის საერთო უსაფრთხოებისა და უსაფრთხოების გაუმჯობესება ყველასთვის.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უმსხვილესი VPN მიმოხილვის ვებსაიტზე. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომელიც ცდილობს ონლაინ საზოგადოებას დაეხმაროს თავი დაიცვას კიბერ საფრთხეებისაგან, ხოლო ორგანიზაციებს ატარებს საკუთარი მომხმარებლების მონაცემების დაცვაში..

ამას წინათ ვიპოვნეთ ა მონაცემთა დიდი დარღვევა, რამაც აჩვენა მობილური ინტერნეტმომხმარებლების ათვალიერების ისტორია სამხრეთ აფრიკაში. ჩვენ ასევე აღმოვაჩინეთ 1TB ზე მეტი მონაცემით გაჟონა ჩინელმა ინტერნეტ-საცალო LightInTheBox– მა.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me