Ziņojums: Datu pārkāpumos atklāti sensitīvi dati par kaņepju lietotājiem

Interneta privātuma pētnieku Noam Rotem un Ran Locar vadībā vpnMentor pētījumu grupa atklāja a datu pārkāpums kaņepju rūpniecības tirdzniecības vietā THSuite.

Mūsu komanda identificēja nenodrošinātu Amazon S3 kausu, kas pieder THSuite atklāti sensitīvi dati no vairākām marihuānas izplatīšanas vietām visā ASV un viņu klientiem.

Ietvertie dati bija iekļauti skenēti valdības un darbinieku ID, atklājot personiski identificējamu informāciju (PII) vairāk nekā 30 000 personām.

Uzņēmuma THSuite profils

THSuite piedāvā biznesa procesu pārvaldības programmatūras pakalpojumus kaņepju tirdzniecības vietu īpašniekiem un operatoriem ASV.

Kaņepju dispanseri ir jāvāc lielu daudzumu sensitīvas informācijas, lai ievērotu valsts likumus. THSuite platforma ir izstrādāta, lai vienkāršotu šo procesu ambulatoriem operatoriem, automātiski integrējoties katras valsts API izsekojamības sistēmā.

Tā rezultātā platformai ir pieejams daudz privātu datu, kas saistīti ar dispanseriem un viņu klientiem.

Atklāšanas laika grafiks un īpašnieka reakcija

Dažreiz datu pārkāpuma pakāpe un datu īpašnieks ir acīmredzami, un problēma ātri tika atrisināta. Bet reti ir šie laiki. Visbiežāk, mums ir vajadzīgas izmeklēšanas dienas, lai mēs saprastu, kas ir uz spēles vai kurš noplūdis.

Nepieciešama izpratne par pārkāpumu un tā iespējamo ietekmi rūpīga uzmanība un laiks. Mēs smagi strādājam pie publicēšanas precīzi un uzticami pārskati, nodrošinot, ka visi, kas tos lasa, saprot viņu nopietnību.

Dažas skartās puses noliedz faktus, neņemot vērā mūsu pētījumu vai mazinot tā ietekmi. Tāpēc mums jābūt rūpīgiem un jāpārliecinās, ka viss, ko atrodam, ir pareizs un patiess.

Šajā gadījumā, mēs viegli identificējām THSuite kā datu bāzes īpašnieku un sazinājāmies ar uzņēmumu ar saviem atklājumiem.

  • Atklāšanas datums: 2023. gada 24. decembrī
  • Datums, kad īpašnieki sazinājās: 2023. gada 26. decembrī
  • Datums, kad sazinājās ar Amazon AWS: 2023. gada 7. janvāris
  • Datuma datu bāze slēgta: 2023. gada 14. janvāris

Ierakstu piemērs datu bāzē

Vairāk nekā 85 000 failu tika noplūdi šajā datu pārkāpumā, ieskaitot vairāk nekā 30 000 ierakstu ar sensitīvu PII. Noplūde ietvēra arī skenētus valdības un uzņēmuma ID, kas tika glabāti Amazon S3 spainī, izmantojot Amazon Simple Storage Service.

Noplūdes spainī bija tik daudz datu, ka mums nebija iespējams pārbaudīt visus ierakstus individuāli. Tā vietā mēs apskatījām nedaudz izlases veida ierakstu, lai saprastu, kāda veida dati kopumā tika atklāti pārkāpumā.

Pārbaudīto ierakstu paraugā mēs atradām informāciju, kas saistīta ar trim marihuānas dispanseriem dažādās vietās ap ASV: Amedicanna Dispensary, Bloom Medicinals un Colorado Grow Company. Šo ierakstu piemēri ir atrodami zemāk.

Tomēr, šis pārkāpums skāra vēl daudzus dispanserus. Iespējams, ka tika iesaistīti visi THSuite klienti un viņu klienti.

Mēs atradām arī fotogrāfijas no valdības izsniegtas personu apliecinošas personas ar fotogrāfiju un attiecīgi parakstījumi gan ambulances apmeklētājiem, gan pacientiem. Turklāt ir apliecinājumi tam, ka katrs pacients atzīst valsts likumus par kaņepju bāzes zāļu iegādi un lietošanu.

Amedicanna dispensary Files

THSuite pārkāpums bija saistīts ar datiem no AmediCanna Dispensary – medicīniskās marihuānas dispanserijas, kas atrodas Merilendas štatā.

Noplūde atklāja šādu personisko informāciju par Amedicanna klientiem:

  • Pilnais vārds
  • Telefona numurs
  • Epasta adrese
  • Dzimšanas datums
  • ielas adrese
  • Medicīniskās / valsts ID numurs un derīguma termiņš
  • Kaņepju gramu ierobežojums
  • Paraksts

THSuite pārkāpumu pacienti

Iekļauta arī datu bāze informācija par Amedicanna krājumiem un pārdošanu. Mēs varējām apskatīt darījumu sarakstu ar šādu informāciju:

  • Pacienta vārds un medicīniskās personas kods
  • Darbinieka vārds
  • Iegādāta kaņepju šķirne
  • Iegādātais kaņepju daudzums
  • Kopējās darījuma izmaksas
  • Saņemšanas datums kopā ar iekšējo kvīts ID

THuite pārkāpumu kvītis

Zied zāles

Bloom Medicinals ir Ohaio štatā bāzēta marihuānas slimnīca ar atrašanās vietām Akronā, Kolumbalā, Maumee, Painesville un Seven Mile.

Datu pārkāpums atklāja informāciju par ambulanci krājumi, ikmēneša pārdošanas pārskati un atbilstības pārskati, kā arī šāda pacienta informācija:

  • Pilnais vārds
  • Dzimšanas datums
  • Medicīniskā / valsts ID un derīguma termiņš
  • Telefona numurs
  • Epasta adrese
  • ielas adrese
  • Pirmā pirkuma datums
  • Neatkarīgi no tā, vai pacients saņēma finansiālu palīdzību kaņepju iegādei
  • Neatkarīgi no tā, vai pacients izvēlējās SMS īsziņas

Mēs varējām apskatīt ambulances ikmēneša pārdošanas apjomus, atlaides, atgriešanos un samaksātos nodokļus. Pārdošanas apjomi tika sīkāk sadalīti pēc maksājuma veida un produkta veida.

THSuite pārkāpumu pārdošana

Datubāzē bija iekļauts katra kaņepju produkta saraksts ar īsu aprakstu, produkta piegādātāju un tā cenu.

Colorado Grow Company

Colorado Grow Company ir atpūtas marihuānas slimnīca, kas atrodas Durango pilsētā, Kolorādo.

THSuite datu pārkāpums atklāja ambulances ikmēneša pārskatus gan par kaņepēm, gan bez kaņepēm, ieskaitot bruto pārdošanas apjomus, atlaides, nodokļus, neto apgrozījumu un katra maksājuma veida kopsummas..

Noplūde ir atklāta ambulances darbinieku pilni vārdi un nostrādāto stundu skaits katrā divu nedēļu algas periodā.

THSite pārkāpumu darbinieku stundas

Datubāzē bija arī a detalizēts inventāra saraksts ar izstrādājumu nosaukumiem, aprakstiem, izmaksu sadalījumu un daudzumu uz ambulances.

Mēs neatradām ierakstu ar konkrētu informāciju par Colorado Grow Company klientiem vai citiem atpūtas marihuānas lietotājiem. Tomēr, tā kā mēs nevarējām detalizēti izpētīt visus noplūdušos datus, mēs nevaram būt droši, ka šo ierakstu nav.

Datu pārkāpumu ietekme

Šim datu pārkāpumam ir nopietnas sekas dispanseriem un viņu klientiem.

Bažas par kaņepju lietotājiem

Šī datu pārkāpuma rezultātā, tika atklāta sensitīva personiskā informācija par medicīnisko marihuānas slimniekiem, un, iespējams, arī atpūtas marihuānas lietotājiem. Tas rada dažus nopietnas bažas par privātumu.

Medicīniskiem pacientiem ir likumīgas tiesības pamatota iemesla dēļ saglabāt savu medicīnisko informāciju privātu. Pacienti, kuru personiskā informācija ir noplūdusi, var saskarties ar negatīvām sekām gan personīgi, gan profesionāli.

Saskaņā ar HIPAA noteikumiem, tas ir federāls noziegums ASV, ka ikviens veselības pakalpojumu sniedzējs var atklāt aizsargātu informāciju par veselību (PHI), ko varētu izmantot personas identificēšanai. HIPAA pārkāpumi var izraisīt naudas sodu līdz 50 000 USD par katru atklāto ierakstu vai pat cietuma laiku.

Kaņepju dispanseri pastāv likumīgā pelēkajā zonā, jo ASV pastāv lieli konflikti starp federālajiem un štatu likumiem gan attiecībā uz medicīnisko, gan atpūtas marihuānu. Pat valstīs, kur kaņepju lietošana ir atļauta saskaņā ar valsts likumiem, tas joprojām ir aizliegts saskaņā ar federālajiem likumiem.

Tomēr vairums juridisko ekspertu tam piekrīt dispanseriem tāpat kā jebkuram citam veselības aprūpes pakalpojumu sniedzējam jāievēro HIPAA noteikumi.

Daudzās darba vietās ir noteiktas politikas, kas aizliedz kaņepju lietošanu. Klienti un pacienti var saskarties ar sekām darbā, jo viņi ir pakļauti kaņepju lietošanai. Daži pat varēja zaudēt darbu, īpaši, ja viņi strādā federālā aģentūrā.

Pat bez juridiskiem riskiem joprojām pastāv a stigma ap marihuānas lietošanu. Personas var ciest no nelabvēlīgas ietekmes, ja viņu ģimenes, draugi un kolēģi uzzina, ka viņi lieto kaņepes.

Izkrāpšana un pikšķerēšanas uzbrukumi

Hakeri un krāpnieki var izmantot personisko informāciju, kas tiek atklāta, pārkāpjot datus par ambulances klientiem un darbiniekiem ļoti efektīvi personalizēti pikšķerēšanas uzbrukumi.

Atklāti tālruņu numuri un izvēles paziņojuma teksts paziņojumam nodrošina perfektu iespēju pikšķerēšanas uzbrukumiem. Ļaunprātīgi dalībnieki var izmantot arī noplūdušus e-pastus un mājas adreses, lai mērķētu uz indivīdiem.

Hakeri var viegli izmantot atklātu personisko informāciju savākt vairāk personas datu, izmantojot sociālo mediju kontus un citi tiešsaistes avoti. Var tikt izmantota detalizēta informācija par neseniem pirkumiem, kas atklāti datu pārkāpuma gadījumā piekļūt privātiem finanšu kontiem.

Ja ir pietiekami daudz informācijas, ļaunprātīga puse to pat varētu izdarīt identitātes zādzību, kam var būt ļoti nopietnas ilgtermiņa sekas.

Ietekme uz dispanseriem

Datu pārkāpums ietekmē arī tos ambulances, kas uzticējās THSuite ar savu privāto informāciju. Šīs dispanseri, iespējams, saskaras būtiskas sekas iespējamā HIPAA pārkāpuma dēļ.

Cita problēma ir tā, ka konkurējošajiem dispanseriem tagad var būt pieejama detalizēta informācija par šo dispansieru klientiem un inventāru.

Šie uzņēmumi var izmantot šo iespēju, lai uzlabotu cenu noteikšanas stratēģiju un produktu piedāvājumus. Viņi arī var izmantot informāciju, kas noplūda, lai izveidotu mērķētas reklāmas kampaņas.

Ietekmētie ambulances varētu zaudēt klientus datu pārkāpuma rezultātā. Pat ja dispanjeri nebūtu tieši atbildīgi, klienti varētu vilcināties uzticieties šiem dispanseriem ar viņu personisko informāciju pēc tam, kad tas bija noplūdis.

Ekspertu ieteikumi

THSuite varēja viegli izvairīties no šīs noplūdes, ja viņi būtu to paņēmuši pamata drošības pasākumi lai aizsargātu Amazon S3 kausu. Tie ietver (bet ne tikai):

  • Nostipriniet savus serverus
  • Ieviesiet atbilstošus piekļuves noteikumus
  • Nekad neatstājiet internetam atvērtu sistēmu, kurai nav nepieciešama autentifikācija

Jebkurš uzņēmums var atkārtot tās pašas darbības neatkarīgi no tā lieluma. Lai uzzinātu vairāk par to, kā aizsargāt savu biznesu, iepazīstieties ar mūsu padziļināto ceļvedi savas vietnes un tiešsaistes datu bāzes nodrošināšana no hakeriem.

Ietekmētiem dispanseriem

Mēs iesakām sazināties tieši ar THSuite uzzināt vairāk par uzņēmuma drošības praksi un to, kā tā plāno nākotnē nodrošināt jūsu datu drošību.

Vismaz THSuite vajadzētu veikt izmeklēšanu, lai noskaidrotu, kā notika šis datu pārkāpums, un ieviest jaunas drošības procedūras pārliecinieties, ka kaut kas līdzīgs nekad vairs neatkārtosies.

Nākotnē mēs iesakām arī jums rūpīgi pārbaudiet trešo personu pakalpojumus jūs īrējat, lai pārliecinātos, ka viņi ievēro labāko praksi un vai ir ieviesti vairāki drošības pasākumi, lai aizsargātu jūsu sensitīvos datus.

Ietekmētiem klientiem

Ja esat marihuānas dispanserisa klients vai pacients, mēs iesakām tieši sarunāties ar pakalpojumu sniedzēju, lai uzzinātu, vai viņi lieto THSuite vai ir to izmantojuši iepriekš.

Ja uzskatāt, ka jūsu privātā informācija ir bijusi pakļauta šim datu pārkāpumam, varat veikt pasākumus, lai mazinātu tā ietekmi.

Izlasiet mūsu pilnīgs tiešsaistes privātuma ceļvedis lai uzzinātu par metodēm, kuras hakeri izmanto, lai aizskarētu jūsu privātumu, un to, ko jūs varat darīt, lai sevi aizsargātu. Mēs arī iesakām jums izmantojiet VPN, lai aizsargātu savus privātos datus no kibernoziedzniekiem, kuri, iespējams, mēģinās jūs mērķēt pēc jūsu informācijas noplūdes.

Iespējams, vēlēsities arī izrunāt savu ambulanci, lai uzzinātu, kā tā garantēs jūsu drošību un privātumu nākotnē.

Kā un kāpēc mēs atklājām pārkāpumu

Pētniecības grupa vpnMentor atklāja šo pārkāpumu THSuite datu bāzē kā daļu no mūsu liela mēroga tīmekļa kartēšanas projekts.

Mūsu pētījumu grupa skenē ostas, lai atrastu zināmos IP blokus. Pēc tam komanda meklē sistēmā ievainojamības, kas norādītu uz atvērtu datu bāzi.

Mēs varējām piekļūt THSuite S3 spainim, jo ​​tas bija pilnīgi nenodrošināts un nešifrēts. Izmantojot tīmekļa pārlūku, komanda varēja piekļūt visiem failiem, kas mitināti datu bāzē.

Pēc datu pārkāpuma konstatēšanas mēs darām visu iespējamo, lai datu bāzi piesaistītu atpakaļ īpašniekam. Pēc tam mēs sazināmies ar īpašnieku, lai informētu viņus par ievainojamību un ieteiktu veidus, kā īpašnieks var uzlabot savu sistēmu drošību.

Kā ētiski hakeri un pētnieki, mēs nekad nepārdodam, neuzglabājam un neatklājam informāciju, ar kuru sastopamies. Mūsu mērķis ir uzlabot vispārējo interneta drošību visiem.

Par mums un iepriekšējie ziņojumi

vpnMentor ir pasaulē lielākā VPN pārskatu vietne. Mūsu pētījumu laboratorija ir pro bono pakalpojums, kura mērķis ir palīdzēt tiešsaistes kopienai aizstāvēties pret kiberdraudiem, vienlaikus izglītojot organizācijas par savu lietotāju datu aizsardzību.

Nesen atradām liels datu pārkāpums, kas atklāja mobilā interneta lietotāju pārlūkošanas vēsturi Dienvidāfrikā. Mēs arī atklājām Ķīnas tiešsaistes mazumtirgotājs LightInTheBox ir noplūdis vairāk nekā 1 TB datu.