Ohio Medical Alliance, SSN’ler, kimlikler, sağlık dosyaları ve hassas dahili notlar dahil olmak üzere 957.000 kayıt içeren bir tıbbi esrar hasta veritabanını ortaya çıkardı.
Siber güvenlik araştırmacısı Jeremiah Fowler, markası Ohio Marijuana kartı altında daha iyi bilinen bir şirket olan Ohio Medical Alliance LLC ile bağlantılı yaklaşık bir milyon kayıt içeren iki korunmasız, yanlış yapılandırılmış iki veritabanını tanımladı.
Web sitesi Planet’e maruz kaldığını bildiren Fowler, veritabanlarının şifreleme veya şifre koruması olmadan açık bırakıldığını, internet bağlantısı olan herkesin erişim adlarına, sosyal güvenlik numaralarına (SSN), doğum tarihlerine, ev adreslerine ve sürücü lisanslarının yüksek çözünürlüklü görüntülerine izin verdiğini buldu.
Dosyalar ayrıca alım formları, doktor sertifikaları ve travma sonrası stres bozukluğu (TSSB) ve anksiyete gibi koşullarla ilgili değerlendirmeler gibi derin kişisel tıbbi bilgiler içeriyordu.
Fowler’ın yayıncılıktan önce hackread.com ile paylaşılan raporuna göre, 323 GB değerinde veritabanları 957.434 kayıt depoladı. Birçok dosya, hasta adlarıyla etiketlenmiş klasörlerde düzgün bir şekilde düzenlenen PDF’ler ve görüntü formatlarıydı.
Tıbbi belgelere ek olarak, “Personel Yorumları” adlı bir CSV dosyası dahili notlar, müşteri güncellemeleri ve hastalara, çalışanlara ve iş ortaklarına ait 210.000’den fazla e -posta adresi içeriyordu.
Ohio Medical Alliance LLC, hastaların doktor sertifikalı tıbbi esrar kartları almalarına yardımcı olmak için hem teletıp hem de yüz yüze hizmetler sunmaktadır. Web sitesine göre, şirket ülke çapında 330.000’den fazla hastayı destekledi ve Ohio, Arkansas, Kentucky, Louisiana, Virginia ve Batı Virginia gibi eyaletlerde klinikler işletiyor.
Fowler şirketi uyardıktan sonra, ertesi gün veritabanına halka açık erişim kısıtlandı. Ancak, açıklamasına doğrudan yanıt almadı. Verilerin Ohio Medical Alliance tarafından mı yoksa üçüncü taraf bir yüklenici tarafından mı yönetildiği belirsizliğini koruyor. Aynı şekilde, bilginin ne kadar süre maruz kaldığını veya başka birinin güvence altına alınmadan önce erişip erişmediğini belirlemenin bir yolu yoktur.
Böyle bir olayın etkisi ciddidir, çünkü sürücü lisanslarıyla birleştirilen sosyal güvenlik numaraları gibi bilgiler kimlik hırsızlığı veya finansal sahtekarlık için kullanılabilir. Tıbbi tahliye formları ek sağlık kayıtlarına erişmek için istismar edilebilir. Daha da kötüsü, hastaların isimlerine bağlı akıl sağlığı değerlendirmeleri, yanlış kullanılırsa onları ayrımcılığa veya tacize maruz bırakabilir.
Her ne kadar esrar artık çoğu ABD eyaletinde tıbbi kullanım için yasal olmasına ve neredeyse yarısında eğlence amaçlı olsa da, federal yasa hala yasadışı olarak sınıflandırılıyor. Birçok hasta, özellikle TSSB veya anksiyete gibi hassas durumlar belgelendiğinde, kullanımlarını gizli tutmayı tercih eder. Bu detayların yanlış kayıtlarla maruz kalması, finansal zarardan daha fazla risk alır; Kişisel ilişkileri ve istihdamı etkileyebilir.
Fowler, çalışmalarının maruz kalan verileri tanımlamak ve sorumlu bir şekilde rapor etmekle sınırlı olduğunu vurguladı. Doğrulama için gereken minimum ekran görüntülerinin ötesinde hassas kayıtları indirmez veya paylaşmaz.