Laporkan: Data Sensitif Pengguna Cannabis Terkena Pelanggaran Data


Dipimpin oleh periset privasi internet Noam Rotem dan Ran Locar, tim peneliti vpnMentor menemukan a pelanggaran data di THSuite, sistem point-of-sale dalam industri ganja.

Tim kami mengidentifikasi ember Amazon S3 tanpa jaminan yang dimiliki oleh THSuite itu mengekspos data sensitif dari beberapa apotik ganja di seluruh AS dan pelanggan mereka.

Termasuk data yang bocor memindai ID pemerintah dan karyawan, memperlihatkan informasi pribadi (PII) untuk lebih dari 30.000 orang.

Profil Perusahaan THSuite

THSuite menawarkan layanan perangkat lunak manajemen proses bisnis untuk pemilik dan operator apotek ganja di AS.

Apotik ganja harus mengumpulkan sejumlah besar informasi sensitif untuk mematuhi hukum negara. Platform THSuite dirancang untuk menyederhanakan proses ini untuk operator apotik dengan mengintegrasikan secara otomatis dengan sistem keterlacakan API masing-masing negara..

Sebagai akibatnya, platform ini memiliki akses ke banyak data pribadi terkait dengan apotik dan pelanggan mereka.

Garis Waktu Penemuan dan Reaksi Pemilik

Kadang-kadang tingkat pelanggaran data dan pemilik data jelas, dan masalah ini dengan cepat terselesaikan. Tetapi jarang kali ini. Paling sering, kita perlu investigasi berhari-hari sebelum kita memahami apa yang dipertaruhkan atau siapa yang membocorkan data.

Memahami pelanggaran dan potensi dampaknya perlu dilakukan perhatian dan waktu yang cermat. Kami bekerja keras untuk menerbitkan laporan yang akurat dan dapat dipercaya, memastikan semua orang yang membacanya memahami keseriusan mereka.

Beberapa pihak yang terkena dampak menyangkal fakta, mengabaikan penelitian kami atau mengecilkan dampaknya. Jadi, kita harus teliti dan memastikan semua yang kita temukan benar dan benar.

Pada kasus ini, kami dengan mudah mengidentifikasi THSuite sebagai pemilik basis data dan menghubungi perusahaan dengan temuan kami.

  • Tanggal ditemukan: 24 Desember 2019
  • Pemilik tanggal dihubungi: 26 Desember 2019
  • Tanggal Amazon AWS dihubungi: 7 Januari 2020
  • Database tanggal ditutup: 14 Januari 2020

Contoh Entri dalam Database

Lebih dari 85.000 file bocor dalam pelanggaran data ini, termasuk lebih dari 30.000 catatan dengan PII sensitif. Kebocoran tersebut juga mencakup dokumen pemerintah dan perusahaan yang dipindai yang disimpan dalam ember Amazon S3 melalui Amazon Simple Storage Service.

Ember yang bocor berisi begitu banyak data itu tidak mungkin bagi kami untuk memeriksa semua catatan secara individual. Alih-alih, kami melihat melalui beberapa entri acak untuk memahami jenis data apa yang diekspos dalam keseluruhan pelanggaran.

Dalam sampel entri yang kami periksa, kami menemukan informasi yang terkait dengan tiga apotik ganja di berbagai lokasi di AS: Amedicanna Dispensary, Bloom Medicinals, dan Colorado Grow Company. Contoh entri ini dapat ditemukan di bawah.

Namun, pelanggaran ini memengaruhi lebih banyak apotik. Mungkin saja semua klien THSuite dan pelanggan mereka terlibat.

Kami juga menemukan foto-foto ID foto yang dikeluarkan pemerintah dan tanda tangan yang sesuai dari pengunjung apotik dan pasien. Selain itu, ada pengesahan untuk apa yang tampaknya setiap pasien mengakui hukum negara tentang pembelian dan penggunaan obat berbasis kanabis.

File Apotik Amedicanna

Pelanggaran THSuite melibatkan data dari AmediCanna Dispensary, sebuah apotek ganja medis yang berlokasi di negara bagian Maryland.

Kebocoran itu mengungkapkan detail pribadi berikut tentang pelanggan Amedicanna:

  • Nama lengkap
  • Nomor telepon
  • Alamat email
  • Tanggal lahir
  • alamat jalan
  • Nomor ID Medis / Negara dan tanggal kedaluwarsa
  • Batas gram ganja
  • Tanda tangan

Tiga pasien melanggar

Basis data juga disertakan detail tentang inventaris dan penjualan Amedicanna. Kami dapat melihat daftar transaksi dengan informasi berikut:

  • Nama pasien dan nomor ID medis
  • Nama karyawan
  • Berbagai ganja dibeli
  • Jumlah ganja yang dibeli
  • Total biaya transaksi
  • Tanggal diterima, bersama dengan ID penerimaan internal

Tanda terima THSuite

Obat-obatan Bloom

Bloom Medicinals adalah apotik ganja medis yang berbasis di Ohio dengan lokasi di Akron, Columbus, Maumee, Painesville, dan Seven Mile.

Data melanggar informasi yang terbuka tentang apotik inventaris, laporan penjualan bulanan, dan laporan kepatuhan, sebaik berikut detail pasien:

  • Nama lengkap
  • Tanggal lahir
  • ID Medis / Negara dan tanggal kedaluwarsa
  • Nomor telepon
  • Alamat email
  • alamat jalan
  • Tanggal pembelian pertama
  • Apakah atau tidak pasien menerima bantuan keuangan untuk pembelian ganja
  • Apakah pasien memilih notifikasi SMS atau tidak

Kami dapat melihat penjualan bulanan diskon, diskon, pengembalian, dan pajak apotik. Penjualan selanjutnya dipecah berdasarkan metode pembayaran dan jenis produk.

Penjualan pelanggaran THSuite

Basis data mencakup daftar setiap produk ganja, bersama dengan deskripsi singkat, pemasok produk, dan harganya.

Perusahaan Tumbuh Colorado

Colorado Grow Company adalah apotik ganja rekreasi yang terletak di kota Durango, Colorado.

Pelanggaran data THSuite mengekspos laporan penjualan bulanan apotek untuk produk ganja dan non-ganja, termasuk penjualan kotor, diskon, pajak, penjualan bersih, dan total untuk setiap jenis pembayaran.

Kebocoran terbuka nama lengkap karyawan apotik dan jumlah jam mereka bekerja selama setiap periode pembayaran dua minggu.

THSuite melanggar jam karyawan

Basis data juga termasuk a daftar inventaris terperinci dengan nama produk, uraian, perincian biaya, dan kuantitas di apotek.

Kami tidak menemukan catatan dengan informasi spesifik tentang pelanggan Colorado Grow Company, atau pengguna ganja rekreasi lainnya. Namun, karena kami tidak dapat menjelajahi semua data yang bocor secara detail, kami tidak dapat memastikan catatan ini tidak ada.

Dampak Pelanggaran Data

Pelanggaran data ini memiliki konsekuensi serius bagi apotik dan pelanggan mereka.

Kekhawatiran Privasi untuk Pengguna Cannabis

Sebagai akibat dari pelanggaran data ini, informasi pribadi yang sensitif terpapar untuk pasien ganja medis, dan mungkin untuk pengguna ganja rekreasi juga. Ini menimbulkan beberapa masalah privasi serius.

Pasien medis memiliki hak hukum untuk merahasiakan informasi medis mereka untuk alasan yang baik. Pasien yang informasi pribadinya bocor dapat menghadapi konsekuensi negatif baik secara pribadi maupun profesional.

Di bawah peraturan HIPAA, merupakan kejahatan federal di AS bagi penyedia layanan kesehatan mana pun untuk mengekspos informasi kesehatan yang dilindungi (PHI) yang dapat digunakan untuk mengidentifikasi seseorang. Pelanggaran HIPAA dapat mengakibatkan denda hingga $ 50.000 untuk setiap catatan yang terungkap, atau bahkan di waktu penjara.

Apotik ganja ada di wilayah abu-abu yang legal, karena di AS ada konflik besar antara hukum federal dan negara bagian mengenai ganja medis dan rekreasi. Bahkan di negara-negara di mana penggunaan ganja diizinkan oleh hukum negara, itu masih dilarang menurut hukum federal.

Namun, sebagian besar ahli hukum sepakat itu apotik harus mengikuti peraturan HIPAA sama seperti penyedia layanan kesehatan lainnya.

Banyak tempat kerja memiliki kebijakan khusus yang melarang penggunaan ganja. Pelanggan dan pasien mungkin menghadapi konsekuensi di tempat kerja karena penggunaan ganja mereka terpapar. Beberapa bahkan bisa kehilangan pekerjaan mereka, terutama jika mereka bekerja untuk agen federal.

Bahkan tanpa risiko hukum, masih ada a stigma seputar penggunaan ganja. Individu dapat menderita serangan balasan jika keluarga, teman, dan kolega mereka mengetahui bahwa mereka menggunakan ganja.

Penipuan dan Serangan Phising

Peretas dan penipu dapat memanfaatkan detail pribadi yang terungkap dalam pelanggaran data tentang pelanggan apotek dan karyawan yang akan dibuat serangan phising pribadi yang sangat efektif.

Nomor telepon yang terbuka dan status memilih pemberitahuan teks memberikan peluang sempurna untuk serangan phishing. Aktor jahat juga dapat menggunakan email dan alamat rumah yang dibocorkan untuk menargetkan individu.

Peretas dapat dengan mudah menggunakan detail pribadi yang terbuka mengumpulkan lebih banyak data pribadi melalui akun media sosial dan sumber online lainnya. Informasi terperinci tentang pembelian terbaru yang terekspos dalam pelanggaran data dapat digunakan untuk mendapatkan akses ke akun keuangan pribadi.

Dengan informasi yang cukup, pihak jahat bahkan bisa melakukan pencurian identitas, yang dapat memiliki konsekuensi jangka panjang yang sangat serius.

Dampaknya pada Apotik

Pelanggaran data juga memengaruhi apotik yang mempercayai THSuite dengan informasi pribadinya. Apotik ini mungkin menemukan diri mereka menghadap konsekuensi utama karena kemungkinan pelanggaran HIPAA yang dibuat oleh pelanggaran ini.

Masalah lain adalah bahwa apotik yang bersaing sekarang dapat memiliki akses ke informasi terperinci tentang pelanggan dan inventaris apotik ini.

Bisnis-bisnis ini dapat memanfaatkan ini untuk meningkatkan strategi penetapan harga dan penawaran produk mereka. Mereka juga dapat menggunakan informasi pelanggan yang bocor untuk membuat kampanye iklan bertarget.

Apotik yang terkena dampak bisa kehilangan pelanggan sebagai akibat dari pelanggaran data. Bahkan jika apotik tidak bertanggung jawab langsung, pelanggan mungkin ragu untuk melakukannya percaya apotik ini dengan informasi pribadi mereka setelah itu bocor.

Nasihat dari Para Ahli

THSuite dapat dengan mudah menghindari kebocoran ini jika mereka mengambilnya langkah-langkah keamanan dasar untuk melindungi bucket Amazon S3. Ini termasuk, tetapi tidak terbatas pada:

  • Amankan server Anda
  • Terapkan aturan akses yang sesuai
  • Jangan pernah meninggalkan sistem yang tidak memerlukan otentikasi terbuka ke internet

Perusahaan mana pun dapat meniru langkah yang sama, tidak peduli ukurannya. Untuk mempelajari lebih lanjut tentang cara melindungi bisnis Anda, lihat panduan mendalam kami di mengamankan situs web dan basis data online Anda dari peretas.

Untuk Apotik yang Terkena Dampak

Kami sarankan untuk menghubungi THSuite secara langsung untuk mengetahui lebih lanjut tentang praktik keamanan perusahaan dan bagaimana rencananya untuk memastikan keamanan data Anda di masa mendatang.

Paling tidak, THSuite harus menyelidiki untuk mengetahui bagaimana pelanggaran data ini terjadi dan menerapkan prosedur keamanan baru pastikan sesuatu seperti ini tidak pernah terjadi lagi.

Di masa depan, kami juga merekomendasikan Anda benar-benar memeriksa setiap layanan pihak ketiga Anda merekrut untuk memastikan mereka mengikuti praktik terbaik dan memiliki beberapa langkah keamanan untuk melindungi data sensitif Anda.

Untuk Pelanggan Yang Terkena Dampak

Jika Anda adalah pelanggan atau pasien apotek ganja, kami sarankan Anda berbicara langsung dengan penyedia Anda untuk mengetahui apakah mereka menggunakan THSuite atau pernah menggunakannya di masa lalu.

Jika Anda yakin informasi pribadi Anda mungkin telah terungkap dalam pelanggaran data ini, ada beberapa langkah yang dapat Anda ambil untuk meminimalkan dampaknya.

Baca kami panduan lengkap untuk privasi online untuk mempelajari tentang teknik yang digunakan peretas untuk menyerang privasi Anda dan apa yang dapat Anda lakukan untuk melindungi diri. Kami juga merekomendasikan Anda gunakan VPN untuk melindungi data pribadi Anda dari penjahat cyber yang mungkin mencoba menargetkan Anda setelah informasi Anda bocor.

Anda mungkin juga ingin berbicara di apotik Anda untuk mencari tahu bagaimana jaminan keamanan dan privasi Anda di masa depan.

Bagaimana dan Mengapa Kami Menemukan Pelanggaran

Tim peneliti vpnMentor menemukan pelanggaran ini di basis data THSuite sebagai bagian dari kami proyek pemetaan web skala besar.

Tim peneliti kami memindai port untuk menemukan blok IP yang dikenal. Tim kemudian mencari kerentanan dalam sistem yang akan menunjukkan database terbuka.

Kami dapat mengakses ember S3 THSuite karena sepenuhnya tidak aman dan tidak dienkripsi. Menggunakan browser web, tim dapat mengakses semua file yang dihosting di database.

Setelah menemukan pelanggaran data, kami melakukan yang terbaik untuk menautkan database kembali ke pemilik. Kami kemudian menghubungi pemilik untuk memberi tahu mereka tentang kerentanan dan menyarankan cara agar pemilik dapat meningkatkan keamanan sistem mereka.

Sebagai peretas dan peneliti etis, kami tidak pernah menjual, menyimpan, atau mengekspos informasi yang kami temui. Tujuan kami adalah untuk meningkatkan keselamatan dan keamanan internet secara keseluruhan untuk semua orang.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka.

Kami baru-baru ini menemukan pelanggaran data besar yang memaparkan riwayat penelusuran pengguna internet seluler di Afrika Selatan. Kami juga menemukan lebih dari 1 TB data bocor oleh peritel online Cina, LightInTheBox.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me