Como cannabis legal Se ha expandido alrededor de los Estados Unidos para uso recreativo y médico, las empresas han acumulado tocos de datos sobre clientes y sus transacciones. Las personas que han solicitado tarjetas de marihuana medicinal han tenido que compartir datos de salud particulares para calificar. Para algunos pacientes en Ohio que usan hierba médica, una exposición reciente a los datos podría afectar su información confidencial.
El investigador de seguridad Jeremiah Fowler encontró una base de datos de acceso público a mediados de julio que parecía contener registros médicos, evaluaciones de salud mental, informes de médicos e imágenes de ID como licencias de conducir para personas que buscan tarjetas de cannabis medicinal. El tesoro de 323GB almacenó cerca de un millón de registros, incluidos números de Seguro Social, direcciones de correo electrónico, direcciones físicas, fechas de nacimiento y datos médicos, todos organizados por su nombre.
Según la información que parecía describir empleados específicos y socios comerciales, Fowler sospechaba que los datos pertenecían a la compañía de Ohio Ohio Medical Alliance LLC, que se llama la tarjeta de marihuana de Ohio. Fowler contactó a la compañía el 14 de julio; Cuando revisó la base de datos al día siguiente, se había asegurado y ya no era accesible públicamente en línea. Fowler no recibió una respuesta sobre su sumisión.
Ohio Medical Alliance no respondió las preguntas de Wired sobre los hallazgos de Fowler. En un momento, sin embargo, el presidente de la compañía, Cassandra Brooks, escribió en un correo electrónico: «Necesito tiempo para investigar este presunto incidente. Tomamos la seguridad de los datos muy en serio y estamos investigando este asunto».
«Hubo informes de los médicos que dirían cuál era el problema subyacente, ya sea ansiedad, cáncer, VIH o algo más. En algunos casos, los solicitantes presentarían sus propios registros médicos como prueba» de su condición de calificación, dijo Fowler Wired. «Vi documentos de identificación de muchos estados, de todas partes. E incluso vi tarjetas de liberación de delincuentes, que son básicamente identificaciones para personas que acaban de salir de prisión que presentaron como prueba de identidad para obtener una tarjeta de marihuana medicinal».
Fowler dice que la mayoría de los archivos en la base de datos eran formatos de imagen como PDF, JPG y PNG. Un documento de texto sin formato CSV llamado «comentarios del personal» parecía ser una exportación de comunicaciones internas, historias de citas, notas sobre clientes y estado de aplicación. Ese archivo también contenía más de 200,000 direcciones de correo electrónico de los empleados, socios comerciales y clientes de Ohio Medical Alliance.
Las bases de datos que están mal configuadas y que se han dejado inadvertidamente expuestas públicamente en Internet abierto son un problema común en línea a pesar de los esfuerzos para crear conciencia sobre el error y sus implicaciones de privacidad.