Отчет: конфиденциальные данные пользователей каннабиса, раскрытые в нарушении данных


Исследовательская команда vpnMentor под руководством исследователей конфиденциальности Интернета Ноама Ротема и Ран Локара обнаружила утечка данных в THSuite, системе торговых точек в индустрии каннабиса.

Наша команда обнаружила незащищенное ведро Amazon S3, принадлежащее THSuite, которое раскрыть конфиденциальные данные из нескольких диспансеров марихуаны вокруг США и их клиентов.

Утечка данных включена отсканированные документы правительства и сотрудников, раскрывающие личную информацию (PII) для более чем 30 000 человек.

Профиль компании THSuite

THSuite предлагает услуги программного обеспечения для управления бизнес-процессами владельцам и операторам каннабиса в США..

Каннабис диспансеры должны собирать большое количество конфиденциальной информации в целях соблюдения законов штата. Платформа THSuite предназначена для упрощения этого процесса для диспансерных операторов за счет автоматической интеграции с системой отслеживания API каждого государства..

Как следствие этого, платформа имеет доступ к большому количеству личных данных, касающихся диспансеров и их клиентов..

Хронология открытия и реакции владельца

Иногда степень нарушения данных и владелец данных очевидны, и проблема быстро решается. Но такие времена редки. Чаще всего, нам нужны дни расследования, прежде чем мы поймем, что поставлено на карту или кто передает данные.

Понимание нарушения и его потенциального воздействия требует тщательное внимание и время. Мы прилагаем все усилия, чтобы опубликовать точные и достоверные отчеты, чтобы каждый, кто их читает, понимал их серьезность.

Некоторые пострадавшие стороны отрицают факты, игнорируя наше исследование или преуменьшая его влияние. Таким образом, мы должны быть тщательными и убедиться, что все, что мы находим, правильно и верно.

В таком случае, мы легко определили THSuite как владельца базы данных и связались с компанией, чтобы сделать выводы.

  • Дата открытия24 декабря 2019 г.
  • Дата обращения владельцев: 26 декабря 2019 г.
  • Дата Амазонки AWS связался: 7 января 2020 г.
  • Дата база данных закрыта14 января 2020 г.

Пример записей в базе данных

Более 85 000 файлов были утечки в этом нарушении данных, в том числе более 30000 записей с чувствительным PII. Утечка также включала отсканированные идентификаторы правительства и компании, хранящиеся в корзине Amazon S3 через сервис Amazon Simple Storage..

Утечка ведра содержала так много данных, что мы не смогли проверить все записи по отдельности. Вместо этого мы просмотрели несколько случайных записей, чтобы понять, какие типы данных были выявлены в результате нарушения в целом..

В выборке записей, которые мы проверили, мы нашли информацию, касающуюся трех диспансеров марихуаны в разных точках США: амбулатории Амедиканна, Bloom Medicinals и Colorado Grow Company. Примеры этих записей можно найти ниже.

тем не мение, это нарушение затронуло еще много диспансеров. Возможно, что все клиенты THSuite и их клиенты были вовлечены.

Мы также нашли фотографии выданные правительством удостоверения личности с фотографией и соответствующие подписи посетителей диспансера и пациентов. Кроме того, существуют свидетельства того, что каждый пациент признает государственные законы, касающиеся покупки и использования лекарств на основе каннабиса..

Досье амедиканны

Нарушение THSuite связано с данными из диспансера AmediCanna, медицинского диспансера марихуаны, расположенного в штате Мэриленд.

Утечка раскрыла следующие личные данные о клиентах Amedicanna:

  • ФИО
  • Телефонный номер
  • Адрес электронной почты
  • Дата рождения
  • адрес улицы
  • Медицинский / государственный идентификационный номер и срок годности
  • Ограничение грамма конопли
  • Подпись

THSuite нарушение пациентов

База данных также включена подробности об инвентаре и продажах Amedicanna. Нам удалось просмотреть список транзакций со следующей информацией:

  • Имя пациента и медицинский идентификационный номер
  • Имя сотрудника
  • Куплен сорт каннабиса
  • Количество купленной марихуаны
  • Общая стоимость транзакции
  • Дата получения вместе с внутренним идентификатором квитанции

THSuite нарушение квитанции

Bloom Medicinals

Bloom Medicinals - это медицинский диспансер по производству марихуаны в Огайо с офисами в Акроне, Колумбусе, Моми, Пейнсвилле и Семи Миле..

Нарушение данных раскрыло информацию о диспансере инвентарь, ежемесячные отчеты о продажах и отчеты о соответствии, также как и следующие данные пациента:

  • ФИО
  • Дата рождения
  • Медицинский / государственный ID и срок годности
  • Телефонный номер
  • Адрес электронной почты
  • адрес улицы
  • Дата первой покупки
  • Получал ли пациент финансовую помощь для покупки каннабиса
  • Независимо от того, выбрал ли пациент текстовые уведомления SMS

Мы смогли просмотреть ежемесячные продажи диспансера, скидки, возвраты и уплаченные налоги. Продажи были далее разбиты по способу оплаты и типу продукта.

THSuite нарушение продаж

База данных включала список каждого продукта каннабиса, а также краткое описание, поставщика продукта и его цены..

Колорадо Гроу Компания

Colorado Grow Company - это профилакторий марихуаны, расположенный в городе Дуранго, штат Колорадо.

Нарушение данных THSuite обнажило ежемесячные отчеты о продажах диспансера как по каннабису, так и по не каннабису, включая валовые продажи, скидки, налоги, чистые продажи и итоги по каждому виду оплаты..

Обнаружена утечка полные имена сотрудников диспансера и количество отработанных часов в течение каждого двухнедельного периода оплаты.

Это нарушение рабочего времени

База данных также включала подробный инвентарный список с названиями продуктов, описаниями, разбивкой затрат и количеством в наличии на диспансере.

Мы не нашли никаких записей с конкретной информацией о клиентах Colorado Grow Company или других потребителях марихуаны для отдыха. Тем не менее, так как мы не смогли подробно изучить все просочившиеся данные, мы не можем быть уверены, что эти записи не существуют.

Влияние нарушения данных

Это нарушение данных имеет серьезные последствия для диспансеров и их клиентов.

Вопросы конфиденциальности для пользователей каннабиса

В результате этого нарушения данных, конфиденциальная личная информация была раскрыта для пациентов медицинской марихуаны, и, возможно, для любителей марихуаны. Это поднимает некоторые серьезные проблемы конфиденциальности.

Медицинские пациенты имеют законное право хранить свою медицинскую информацию в тайне по уважительной причине. Пациенты, чья личная информация была утечка, могут столкнуться с негативными последствиями как лично, так и профессионально.

В соответствии с правилами HIPAA, В США любое федеральное медицинское учреждение является федеральным преступлением для раскрытия защищенной медицинской информации. (PHI), которые могут быть использованы для идентификации личности. Нарушения HIPAA могут привести к штрафам в размере до 50 000 долларов за каждую разоблаченную запись или даже в тюрьму.

Диспансеры каннабиса существуют в юридической серой зоне, поскольку в США существуют серьезные противоречия между федеральными законами и законами штата, касающимися медицинской и рекреационной марихуаны. Даже в тех штатах, где использование каннабиса разрешено законом штата, это все еще запрещено федеральным законом.

Тем не менее, большинство юридических экспертов сходятся во мнении, что Диспансеры должны соблюдать правила HIPAA, как и любой другой поставщик медицинских услуг..

На многих рабочих местах действуют особые правила, запрещающие употребление каннабиса. Клиенты и пациенты могут столкнуться с последствиями на работе из-за воздействия на них употребления каннабиса. Некоторые могут даже потерять работу, особенно если они работают на федеральное агентство.

Даже без юридических рисков стигма, окружающая употребление марихуаны. Люди могут испытывать негативную реакцию, если их семьи, друзья и коллеги узнают, что они употребляют коноплю.

Мошенничество и фишинг-атаки

Хакеры и мошенники могут воспользоваться личными данными, раскрытыми в утечке данных о клиентах и ​​сотрудниках диспансера, для создания высокоэффективные персональные фишинговые атаки.

Выставленные номера телефонов и текстовые уведомления о статусе подписки предоставить прекрасную возможность для фишинговых атак. Злоумышленники могут также использовать просочившиеся электронные письма и домашние адреса для нацеливания на отдельных лиц..

Хакеры могут легко использовать личные данные собирать больше личных данных через учетные записи в социальных сетях и другие интернет-источники. Подробная информация о недавних покупках, обнаруженных в результате взлома данных, может быть использована для получить доступ к частным финансовым счетам.

Имея достаточно информации, злоумышленник может даже совершить кражу, которые могут иметь очень серьезные долгосрочные последствия.

Влияние на диспансеры

Нарушение данных также влияет на диспансеры, которые доверяли THSuite свою личную информацию. Эти диспансеры могут оказаться перед основные последствия из-за возможного нарушения HIPAA, созданного этим нарушением.

Другая проблема заключается в том, что конкурирующие диспансеры могут теперь иметь доступ к подробной информации о клиентах и ​​инвентаре этих диспансеров..

Эти предприятия могут воспользоваться этим для улучшения своей ценовой стратегии и предложения продуктов. Они также могут использовать утечку информации о клиентах для создания целевые рекламные кампании.

Пострадавшие диспансеры могут потерять клиентов в результате взлома данных. Даже если диспансеры не несут прямой ответственности, клиенты могут смущаться доверять этим диспансерам их личную информацию после утечки.

Совет от экспертов

THSuite мог бы легко избежать этой утечки, если бы они взяли основные меры безопасности чтобы защитить ведро Amazon S3. Они включают, но не ограничиваются:

  • Защитите свои серверы
  • Реализуйте соответствующие правила доступа
  • Никогда не оставляйте систему, не требующую аутентификации, открытой для интернета.

Любая компания может повторить те же шаги, независимо от ее размера. Чтобы узнать больше о том, как защитить свой бизнес, ознакомьтесь с нашим подробным руководством по защита вашего сайта и онлайн базы данных от хакеров.

Для пострадавших диспансеров

Мы рекомендуем связаться с THSuite напрямую узнать больше о методах безопасности компании и о том, как она планирует обеспечить безопасность ваших данных в будущем.

По крайней мере, THSuite должен провести расследование, чтобы выяснить, как произошло это нарушение данных, и внедрить новые процедуры безопасности для убедитесь, что что-то подобное никогда не повторится.

В будущем мы также рекомендуем вам тщательно проверять любые сторонние услуги вы нанимаете их, чтобы убедиться, что они следуют передовым методам и имеют несколько мер безопасности для защиты ваших конфиденциальных данных.

Для пострадавших клиентов

Если вы являетесь клиентом или пациентом диспансера марихуаны, мы рекомендуем вам поговорить напрямую с вашим провайдером, чтобы выяснить, используют ли они THSuite или использовали его в прошлом.

Если вы считаете, что ваша личная информация могла быть раскрыта в результате этого нарушения данных, вы можете предпринять шаги, чтобы минимизировать ее влияние.

Читайте наш полное руководство по конфиденциальности в Интернете узнать о методах, которые хакеры используют для вторжения в вашу личную жизнь, и о том, как вы можете защитить себя. Мы также рекомендуем вам использовать VPN для защиты ваших личных данных от киберпреступников, которые могут попытаться нацелиться на вас после утечки вашей информации.

Вы также можете поговорить с вашим диспансером, чтобы узнать, как он будет гарантировать вашу безопасность и конфиденциальность в будущем..

Как и почему мы обнаружили нарушение

Исследовательская группа vpnMentor обнаружила это нарушение в базе данных THSuite как часть нашего крупномасштабный веб-картографический проект.

Наша исследовательская группа сканирует порты, чтобы найти известные блоки IP. Затем команда ищет уязвимости в системе, которые указывают на открытую базу данных..

Мы смогли получить доступ к корзине THSuite S3, потому что она была полностью незащищенной и незашифрованной. Используя веб-браузер, команда может получить доступ ко всем файлам, размещенным в базе данных..

После обнаружения утечки данных мы делаем все возможное, чтобы связать базу данных с владельцем. Затем мы связываемся с владельцем, чтобы сообщить ему об уязвимости и предложить способы, которыми владелец может улучшить безопасность своих систем..

Как этические хакеры и исследователи, мы никогда не продаем, не храним и не раскрываем информацию, с которой сталкиваемся.. Наша цель - улучшить общую безопасность и защиту интернета для всех.

О нас и предыдущих отчетах

vpnMentor - крупнейший в мире веб-сайт, посвященный обзору VPN. Наша исследовательская лаборатория является бесплатной службой, которая стремится помочь интернет-сообществу защитить себя от киберугроз, одновременно обучая организации защите данных своих пользователей..

Мы недавно нашли большая утечка данных, которая разоблачила историю просмотра пользователей мобильного интернета в Южной Африке. Мы также обнаружили более 1 ТБ данных утекло китайским интернет-магазином LightInTheBox.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me