Αναφορά: Τα ευαίσθητα δεδομένα των χρηστών κάνναβης που εκτίθενται στην παραβίαση δεδομένων


Με επικεφαλής τους ερευνητές της ιδιωτικής ζωής στο διαδίκτυο Noam Rotem και Ran Locar, η ερευνητική ομάδα του vpnMentor ανακάλυψε ένα παραβίαση δεδομένων στην THSuite, ένα σύστημα σημείων πώλησης στη βιομηχανία κάνναβης.

Η ομάδα μας εντόπισε έναν ακάλυπτο κάδο Amazon S3 που ανήκει στην THSuite έκθεση ευαίσθητων δεδομένων από πολλαπλές φαρμακοποιίες μαριχουάνας γύρω από τις ΗΠΑ και τους πελάτες τους.

Τα δεδομένα που διαρρέουν περιλαμβάνονται ανιχνεύθηκαν ταυτότητες κυβέρνησης και εργαζομένων, εκθέτοντας πληροφορίες προσωπικής ταυτοποίησης (PII) για πάνω από 30.000 άτομα.

THSuite Εταιρικό Προφίλ

Το THSuite προσφέρει υπηρεσίες λογισμικού διαχείρισης επιχειρηματικών διαδικασιών σε ιδιοκτήτες dispensary και φορείς εκμετάλλευσης κάνναβης στις ΗΠΑ.

Οι διανομείς κάνναβης πρέπει να συλλέγουν μεγάλες ποσότητες ευαίσθητων πληροφοριών για να συμμορφωθούν με τους κρατικούς νόμους. Η πλατφόρμα THSuite έχει σχεδιαστεί για να απλουστεύει αυτή τη διαδικασία για τους χειριστές διανομής με αυτόματη ενσωμάτωση με το σύστημα ιχνηλασιμότητας API κάθε κράτους.

Ως συνέπεια αυτού, η πλατφόρμα έχει πρόσβαση σε πολλά ιδιωτικά δεδομένα που σχετίζονται με τα φαρμακεία και τους πελάτες τους.

Χρονολογική σειρά της ανεύρεσης και του ιδιοκτήτη αντίδραση

Μερικές φορές η έκταση μιας παραβίασης δεδομένων και ο κάτοχος των δεδομένων είναι προφανείς και το ζήτημα επιλυθεί γρήγορα. Αλλά σπάνιες είναι αυτοί οι καιροί. Συχνότερα, χρειαζόμαστε ημέρες έρευνας πριν καταλάβουμε τι διακυβεύεται ή ποιος διαρρέει τα δεδομένα.

Κατανοώντας την παραβίαση και τις πιθανές επιπτώσεις της ιδιαίτερη προσοχή και χρόνο. Δουλεύουμε σκληρά για να δημοσιεύσουμε ακριβείς και αξιόπιστες αναφορές, διασφαλίζοντας ότι όσοι τα διαβάζουν καταλαβαίνουν τη σοβαρότητα τους.

Ορισμένα ενδιαφερόμενα μέρη αρνούνται τα γεγονότα, αγνοώντας την έρευνά μας ή μειώνοντας τον αντίκτυπό της. Επομένως, πρέπει να είμαστε λεπτομερείς και να βεβαιωθούμε ότι όλα όσα βρίσκουμε είναι σωστά και αληθή.

Σε αυτήν την περίπτωση, εντοπίσαμε εύκολα την THSuite ως ιδιοκτήτη της βάσης δεδομένων και επικοινωνήσαμε με την εταιρεία με τα ευρήματά μας.

  • Ημερομηνία ανακάλυψε: 24 Δεκεμβρίου 2019
  • Ημερομηνία επικοινωνίας με τους ιδιοκτήτες: 26 Δεκεμβρίου 2019
  • Ημερομηνία επικοινωνίας με το Amazon AWS: 7 Ιανουαρίου 2020
  • Η βάση δεδομένων ημερομηνίας έκλεισε: 14 Ιανουαρίου 2020

Παράδειγμα καταχωρήσεων στη βάση δεδομένων

Πάνω από 85.000 αρχεία έχουν διαρρεύσει σε αυτήν την παραβίαση δεδομένων, συμπεριλαμβανομένων πάνω από 30.000 εγγραφές με ευαίσθητη PII. Η διαρροή περιελάμβανε επίσης σαρωμένα στοιχεία της κυβέρνησης και της εταιρείας που αποθηκεύτηκαν σε έναν κάδο Amazon S3 μέσω της υπηρεσίας απλής αποθήκευσης του Αμαζονίου.

Ο διαρρηγμένος κουβάς περιείχε τόσα πολλά δεδομένα δεν ήταν δυνατόν να εξετάσουμε όλα τα αρχεία ξεχωριστά. Αντ 'αυτού, εξετάσαμε μια χούφτα τυχαίων καταχωρίσεων για να κατανοήσουμε ποιοι τύποι δεδομένων εκτέθηκαν στην παραβίαση συνολικά.

Στο δείγμα των καταχωρήσεων που ελεγχθήκαμε, βρήκαμε πληροφορίες σχετικά με τρία διαγνωστικά μαριχουάνα σε διάφορες τοποθεσίες γύρω από τις ΗΠΑ: Dispensary Amedicanna, Bloom Medicinals και Colorado Grow Company. Παραδείγματα αυτών των καταχωρίσεων μπορούν να βρεθούν παρακάτω.

Ωστόσο, η παραβίαση αυτή επηρέασε πολλά περισσότερα νοσοκομεία. Είναι πιθανό ότι συμμετείχαν όλοι οι πελάτες της THSuite και οι πελάτες τους.

Βρήκαμε επίσης φωτογραφίες του κυβερνητικά εκδοθέντα αναγνωριστικά φωτογραφιών και τις αντίστοιχες υπογραφές των επισκεπτών διαλογής και των ασθενών. Επιπλέον, υπάρχουν βεβαιώσεις για το τι φαίνεται να είναι κάθε ασθενής που αναγνωρίζει τους κρατικούς νόμους σχετικά με την αγορά και τη χρήση φαρμάκων που βασίζονται στην κάνναβη.

Αρχεία Dispensary Amedicanna

Η παραβίαση του THSuite αφορούσε στοιχεία από το AmediaCanna Dispensary, ένα ιατρικό φαρμακείο μαριχουάνας που βρίσκεται στην πολιτεία του Maryland.

Η διαρροή εξέθεσε τα ακόλουθα προσωπικά στοιχεία σχετικά με τους πελάτες της Amedicanna:

  • Πλήρες όνομα
  • Τηλεφωνικό νούμερο
  • Διεύθυνση ηλεκτρονικού ταχυδρομείου
  • Ημερομηνια γεννησης
  • διεύθυνση
  • Ιατρικό / αναγνωριστικό αριθμό κατάστασης και ημερομηνία λήξης
  • Όριο γραμμάρια κάνναβης
  • Υπογραφή

THSuite ασθενείς παραβιάζουν

Η βάση δεδομένων συμπεριελάμβανε επίσης λεπτομέρειες σχετικά με την απογραφή και τις πωλήσεις της Amedicanna. Μπορέσαμε να δούμε μια λίστα συναλλαγών με τις ακόλουθες πληροφορίες:

  • Το όνομα του ασθενούς και ο αριθμός ιατρικής ταυτότητας
  • Ονομα υπαλλήλου
  • Η ποικιλία κάνναβης που αγοράστηκε
  • Η ποσότητα κάνναβης που αγοράστηκε
  • Συνολικό κόστος συναλλαγής
  • Η ημερομηνία λήψης μαζί με ένα εσωτερικό αναγνωριστικό παραλαβής

Παραλαβές παραβιάσεων THSuite

Bloom Medicinals

Το Bloom Medicinals είναι ιατρικό κέντρο ιατρικής μαριχουάνας με έδρα το Οχάιο, με τοποθεσίες στο Akron, το Columbus, το Maumee, το Painesville και το Seven Mile.

Η παραβίαση δεδομένων έφερε πληροφορίες σχετικά με το φαρμακείο απογραφή, μηνιαίες εκθέσεις πωλήσεων και εκθέσεις συμμόρφωσης, καθώς τις ακόλουθες λεπτομέρειες για τον ασθενή:

  • Πλήρες όνομα
  • Ημερομηνια γεννησης
  • Ιατρικό / Αναγνωριστικό κράτους και ημερομηνία λήξης
  • Τηλεφωνικό νούμερο
  • Διεύθυνση ηλεκτρονικού ταχυδρομείου
  • διεύθυνση
  • Ημερομηνία πρώτης αγοράς
  • Εάν ο ασθενής έλαβε οικονομική ενίσχυση για αγορές κάνναβης
  • Είτε ο ασθενής επέλεξε ή όχι τις ειδοποιήσεις κειμένου SMS

Ήμασταν σε θέση να δούμε τις μηνιαίες πωλήσεις του διανομής, τις εκπτώσεις, τις αποδόσεις και τους φόρους που καταβλήθηκαν. Οι πωλήσεις κατανεμήθηκαν περαιτέρω ανά μέθοδο πληρωμής και τύπο προϊόντος.

THSuite παραβιάσεις πωλήσεων

Η βάση δεδομένων περιελάμβανε κατάλογο κάθε προϊόντος κάνναβης, μαζί με μια σύντομη περιγραφή, τον προμηθευτή του προϊόντος και την τιμή του.

Εταιρεία ανάπτυξης του Κολοράντο

Το Colorado Grow Company είναι ένα ψυχαγωγικό φαρμακείο μαριχουάνας που βρίσκεται στην πόλη Durango του Κολοράντο.

Η παραβίαση δεδομένων THSuite εκθέτει τις μηνιαίες εκθέσεις πωλήσεων του διανομής τόσο για τα προϊόντα κάνναβης όσο και για τα προϊόντα εκτός κάνναβης, συμπεριλαμβανομένων των ακαθάριστων πωλήσεων, των εκπτώσεων, των φόρων, των καθαρών πωλήσεων και των συνολικών ποσών για κάθε τύπο πληρωμής.

Η διαρροή εκτίθεται τα πλήρη ονόματα των υπαλλήλων των ιατρείων και τον αριθμό των ωρών που εργάστηκαν κατά τη διάρκεια κάθε περιόδου πληρωμής δύο εβδομάδων.

THSuite παραβιάζει τις ώρες των εργαζομένων

Η βάση δεδομένων περιελάμβανε επίσης ένα λεπτομερή κατάλογο απογραφής με τα ονόματα προϊόντων, τις περιγραφές, τις αναλύσεις κόστους και την ποσότητα στο χέρι στο φαρμακείο.

Δεν βρήκαμε κανένα αρχείο με συγκεκριμένες πληροφορίες σχετικά με τους πελάτες της Colorado Grow Company, ή άλλους χρήστες ψυχαγωγίας μαριχουάνας. Ωστόσο, δεδομένου ότι δεν είχαμε τη δυνατότητα να διερευνήσουμε λεπτομερώς όλα τα δεδομένα που διαρρέουν, δεν μπορούμε να είμαστε σίγουροι ότι αυτά τα αρχεία δεν υπάρχουν.

Επιπτώσεις στην παραβίαση δεδομένων

Αυτή η παραβίαση δεδομένων έχει σοβαρές συνέπειες για τα φαρμακεία και τους πελάτες τους.

Προβληματισμοί προστασίας προσωπικών δεδομένων για χρήστες κάνναβης

Ως αποτέλεσμα αυτής της παραβίασης των δεδομένων, οι ευαίσθητες προσωπικές πληροφορίες εκτέθηκαν για ιατρικούς ασθενείς με μαριχουάνα, και ενδεχομένως για τους χρήστες ψυχαγωγίας μαριχουάνας επίσης. Αυτό δημιουργεί μερικούς σοβαρά προβλήματα προστασίας της ιδιωτικής ζωής.

Οι ιατρικοί ασθενείς έχουν το νόμιμο δικαίωμα να διατηρούν τις ιατρικές τους πληροφορίες ιδιωτικές για σοβαρό λόγο. Οι ασθενείς των οποίων τα προσωπικά δεδομένα διαρρέουν ενδέχεται να έχουν αρνητικές συνέπειες τόσο προσωπικά όσο και επαγγελματικά.

Σύμφωνα με τους κανονισμούς της HIPAA, είναι ένα ομοσπονδιακό έγκλημα στις ΗΠΑ για οποιονδήποτε πάροχο υπηρεσιών υγείας να εκθέσει προστατευμένες πληροφορίες για την υγεία (PHI) που θα μπορούσαν να χρησιμοποιηθούν για τον εντοπισμό ενός ατόμου. Οι παραβιάσεις του HIPAA μπορούν να οδηγήσουν σε πρόστιμα ύψους έως και 50.000 δολαρίων για κάθε εκτεθειμένο ρεκόρ ή ακόμα και σε φυλακή.

Τα φαρμακεία κάνναβης υπάρχουν σε μια νόμιμη γκρίζα περιοχή, καθώς στις ΗΠΑ υπάρχουν σημαντικές συγκρούσεις μεταξύ ομοσπονδιακών και κρατικών νόμων όσον αφορά τόσο την ιατρική όσο και την ψυχαγωγική μαριχουάνα. Ακόμα και σε κράτη όπου η χρήση κάνναβης επιτρέπεται από το κρατικό δίκαιο, εξακολουθεί να απαγορεύεται από τον ομοσπονδιακό νόμο.

Ωστόσο, οι περισσότεροι νομικοί εμπειρογνώμονες το συμφωνούν τα φαρμακεία πρέπει να ακολουθούν τους κανονισμούς HIPAA όπως και κάθε άλλος πάροχος υγειονομικής περίθαλψης.

Πολλοί χώροι εργασίας έχουν συγκεκριμένες πολιτικές που απαγορεύουν τη χρήση κάνναβης. Οι πελάτες και οι ασθενείς ενδέχεται να αντιμετωπίσουν συνέπειες στην εργασία λόγω της έκθεσής τους στη χρήση κάνναβης. Κάποιοι θα μπορούσαν ακόμη να χάσουν τη δουλειά τους, ειδικά αν εργάζονται για μια ομοσπονδιακή υπηρεσία.

Ακόμα και χωρίς τους νομικούς κινδύνους, υπάρχει ακόμα α στίγμα γύρω από τη χρήση μαριχουάνας. Τα άτομα ενδέχεται να υποστούν αντιδράσεις εάν οι οικογένειες, οι φίλοι και οι συνάδελφοί τους διαπιστώσουν ότι χρησιμοποιούν κάνναβη.

Απάτες και επιθέσεις Phishing

Οι χάκερ και οι απατεώνες μπορούν να επωφεληθούν από τα προσωπικά στοιχεία που εκτίθενται στην παραβίαση των δεδομένων σχετικά με τους πελάτες και τους υπαλλήλους που έχουν δημιουργήσει πολύ αποτελεσματικές εξατομικευμένες επιθέσεις phishing.

Εκτεθειμένοι τηλεφωνικοί αριθμοί και κατάσταση ειδοποίησης ειδοποίησης κειμένου παρέχει την τέλεια ευκαιρία για επιθέσεις phishing. Οι κακόβουλοι ηθοποιοί μπορούν επίσης να χρησιμοποιούν διαρροή μηνυμάτων ηλεκτρονικού ταχυδρομείου και διευθύνσεις στο σπίτι για να στοχεύσουν άτομα.

Οι χάκερ μπορούν εύκολα να χρησιμοποιήσουν τις εκτεθειμένες προσωπικές λεπτομέρειες συλλέγουν περισσότερα προσωπικά δεδομένα μέσω λογαριασμών κοινωνικών μέσων και άλλες πηγές στο διαδίκτυο. Θα μπορούσαν να χρησιμοποιηθούν λεπτομερείς πληροφορίες σχετικά με τις πρόσφατες αγορές που εκτέθηκαν στην παραβίαση δεδομένων πρόσβαση σε ιδιωτικούς χρηματοοικονομικούς λογαριασμούς.

Με αρκετές πληροφορίες, ένα κακόβουλο πάρτυ θα μπορούσε ακόμη και κλοπή ταυτότητας, που μπορεί να έχει πολύ σοβαρές μακροπρόθεσμες συνέπειες.

Επιπτώσεις στα Dispensaries

Η παραβίαση των δεδομένων επηρεάζει επίσης τους διανομείς που εμπιστεύονται το THSuite με τις προσωπικές τους πληροφορίες. Αυτά τα φαρμακεία μπορεί να βρεθούν αντιμέτωποι σημαντικές συνέπειες λόγω της πιθανής παραβίασης της HIPAA που δημιουργήθηκε από αυτήν την παραβίαση.

Ένα άλλο ζήτημα είναι ότι οι ανταγωνίστριες φαρμακοβιομηχανίες μπορούν πλέον να έχουν πρόσβαση σε λεπτομερείς πληροφορίες σχετικά με τους πελάτες και τον κατάλογο των διανομέων αυτών.

Αυτές οι επιχειρήσεις μπορούν να επωφεληθούν από αυτό για να βελτιώσουν τη στρατηγική τιμολόγησης και τις προσφορές προϊόντων τους. Μπορούν επίσης να χρησιμοποιήσουν πληροφορίες που έχουν διαρρεύσει για να δημιουργήσουν στοχευμένες διαφημιστικές καμπάνιες.

Τα επηρεαζόμενα ιατρεία θα μπορούσαν να χάσουν τους πελάτες τους ως αποτέλεσμα της παραβίασης των δεδομένων. Ακόμη και αν οι διανομείς δεν ήταν άμεσα υπεύθυνοι, οι πελάτες θα μπορούσαν να διστάσουν να εμπιστευτείτε αυτά τα ιατρεία με τα προσωπικά τους στοιχεία μετά τη διαρροή.

Συμβουλές από τους εμπειρογνώμονες

Το THSuite θα μπορούσε εύκολα να αποφύγει αυτή τη διαρροή αν είχαν πάρει κάποια βασικά μέτρα ασφαλείας για την προστασία του κάδου Amazon S3. Αυτές περιλαμβάνουν, αλλά δεν περιορίζονται σε:

  • Ασφαλίστε τους διακομιστές σας
  • Εφαρμόστε τους κατάλληλους κανόνες πρόσβασης
  • Ποτέ μην αφήνετε ένα σύστημα που δεν απαιτεί έλεγχο ταυτότητας ανοιχτό στο Διαδίκτυο

Κάθε εταιρεία μπορεί να αναπαράγει τα ίδια βήματα, ανεξάρτητα από το μέγεθός της. Για να μάθετε περισσότερα σχετικά με τον τρόπο προστασίας της επιχείρησής σας, ανατρέξτε στον οδηγό μας σε βάθος εξασφαλίζοντας τον ιστοχώρο σας και την ηλεκτρονική βάση δεδομένων σας από τους χάκερ.

Για τα επηρεαζόμενα διαγνωστικά

Σας συνιστούμε να επικοινωνήσετε άμεσα με το THSuite για να μάθετε περισσότερα σχετικά με τις πρακτικές ασφαλείας της εταιρείας και πώς σχεδιάζει να διασφαλίσει την ασφάλεια των δεδομένων σας στο μέλλον.

Τουλάχιστον, η THSuite θα πρέπει να διερευνήσει για να διαπιστώσει πώς συνέβη η παραβίαση των δεδομένων και να εφαρμόσει νέες διαδικασίες ασφαλείας βεβαιωθείτε ότι κάτι τέτοιο δεν συμβαίνει ποτέ ξανά.

Στο μέλλον, σας συνιστούμε επίσης να ελέγξετε προσεκτικά όλες τις υπηρεσίες τρίτου μέρους να μισθώσετε για να βεβαιωθείτε ότι ακολουθούν τις βέλτιστες πρακτικές και να εφαρμόσετε πολλαπλά μέτρα ασφαλείας για την προστασία των ευαίσθητων δεδομένων σας.

Για τους επηρεαζόμενους πελάτες

Εάν είστε πελάτης ή ασθενής ενός φαρμακείου μαριχουάνας, συνιστούμε να μιλήσετε απευθείας με τον παροχέα σας για να μάθετε αν χρησιμοποιούν το THSuite ή το έχουν χρησιμοποιήσει στο παρελθόν.

Εάν πιστεύετε ότι τα προσωπικά σας στοιχεία ενδέχεται να έχουν εκτεθεί σε αυτήν την παραβίαση δεδομένων, υπάρχουν βήματα που μπορείτε να λάβετε για να ελαχιστοποιήσετε τον αντίκτυπό της.

Διαβάστε μας πλήρη οδηγό για το ιδιωτικό απόρρητο για να μάθετε για τις τεχνικές που χρησιμοποιούν οι χάκερ για να εισβάλουν στην ιδιωτική σας ζωή και τι μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας. Σας προτείνουμε επίσης χρησιμοποιήστε ένα VPN για να προστατεύσετε τα προσωπικά σας δεδομένα από κυβερνητικούς εγκληματίες που ενδέχεται να προσπαθήσουν να σας στοχεύσουν μετά τη διαρροή των πληροφοριών σας.

Μπορεί επίσης να θέλετε να μιλήσετε στο ιατρείο σας για να μάθετε πώς θα εγγυηθεί την ασφάλεια και το απόρρητό σας στο μέλλον.

Πώς και γιατί ανακάλυψα την παραβίαση

Η ερευνητική ομάδα του vpnMentor ανακάλυψε αυτή την παραβίαση στη βάση δεδομένων του THSuite ως μέρος της δικής μας σχέδιο μεγάλης κλίμακας χαρτογράφησης ιστού.

Η ερευνητική ομάδα μας σαρώνει λιμάνια για να βρει γνωστά μπλοκ IP. Στη συνέχεια, η ομάδα αναζητά ευπάθειες στο σύστημα που θα υποδεικνύουν μια ανοιχτή βάση δεδομένων.

Ήμασταν σε θέση να αποκτήσετε πρόσβαση στον κάδο S3 του THSuite, επειδή ήταν εντελώς ακάλυπτο και δεν κρυπτογραφήθηκε. Χρησιμοποιώντας ένα πρόγραμμα περιήγησης ιστού, η ομάδα θα μπορούσε να έχει πρόσβαση σε όλα τα αρχεία που φιλοξενούνται στη βάση δεδομένων.

Αφού διαπιστώσουμε παραβίαση δεδομένων, κάνουμε το καλύτερο δυνατό για τη σύνδεση της βάσης δεδομένων προς τον ιδιοκτήτη. Τότε επικοινωνούμε με τον ιδιοκτήτη για να τους ενημερώσουμε για την ευπάθεια και να προτείνουμε τρόπους με τους οποίους ο ιδιοκτήτης μπορεί να βελτιώσει την ασφάλεια των συστημάτων τους.

Ως ηθικοί χάκερ και ερευνητές, ποτέ δεν πουλάμε, αποθηκεύουμε ή εκθέτουμε τις πληροφορίες που συναντάμε. Στόχος μας είναι να βελτιώσουμε τη συνολική ασφάλεια και ασφάλεια του Διαδικτύου για όλους.

Σχετικά με εμάς και προηγούμενες αναφορές

Το vpnMentor είναι ο μεγαλύτερος ιστότοπος αναθεώρησης VPN στον κόσμο. Το ερευνητικό εργαστήριό μας είναι μια υπηρεσία pro bono που προσπαθεί να βοηθήσει την online κοινότητα να υπερασπιστεί τον εαυτό της ενάντια στις απειλές στον κυβερνοχώρο ενώ παράλληλα εκπαιδεύει τους οργανισμούς για την προστασία των δεδομένων των χρηστών τους.

Πρόσφατα βρήκαμε ένα μεγάλη παραβίαση δεδομένων που εξέθεσε το ιστορικό περιήγησης χρηστών κινητού Διαδικτύου στη Νότιο Αφρική. Ανακαλύψαμε επίσης πάνω από 1TB δεδομένων που διαρρέουν οι κινεζικές online λιανοπωλητές LightInTheBox.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me