Yasal esrar olarak Hem eğlence hem de tıbbi kullanım için Amerika Birleşik Devletleri çevresinde genişledi, şirketler müşteriler ve işlemleri hakkında veri topladı. Tıbbi esrar kartlarına başvuran insanlar, özellikle kişisel sağlık verilerini paylaşmak zorunda kaldılar. Ohio’da tıbbi ot kullanan bazı hastalar için, son zamanlarda veriye maruz kalma hassas bilgilerini etkileyebilir.
Güvenlik araştırmacısı Jeremiah Fowler, Temmuz ayı ortalarında tıbbi kayıtlar, ruh sağlığı değerlendirmeleri, doktor raporları ve tıbbi esrar kartları arayan insanlar için sürücü lisansları gibi kimliklerin görüntülerini içerdiği görülen halka açık bir veritabanı buldu. 323GB’lık trove, sosyal güvenlik numaraları, e -posta adresleri, fiziksel adresler, doğum tarihleri ve tıbbi veriler dahil olmak üzere bir milyon kayda yakın depolandı – hepsi isme göre düzenlendi.
Belirli çalışanları ve iş ortaklarını tanımlayan bilgilere dayanarak Fowler, verilerin Ohio Marijuana Card adında Ohio merkezli Ohio Medical Alliance LLC şirketine ait olduğundan şüphelendi. Fowler 14 Temmuz’da şirketle temasa geçti; Ertesi gün veritabanını kontrol ettiğinde, güvence altına alınmıştı ve artık çevrimiçi olarak halka açık bir şekilde erişilemedi. Fowler sunumu hakkında bir yanıt almadı.
Ohio Medical Alliance, Wired’in Fowler’ın bulguları hakkındaki sorularını cevaplamadı. Bir noktada, şirketin başkanı Cassandra Brooks bir e -posta ile şöyle yazdı: “Bu iddia edilen olayı araştırmak için zamana ihtiyacım var. Veri güvenliğini çok ciddiye alıyoruz ve bu konuyu inceliyoruz.”
Fowler, “Hekimlerin altta yatan sorunun ne olduğunu söyleyecek raporlar vardı – anksiyete, kanser, HIV veya başka bir şey olsun. Bazı durumlarda, başvuranlar kendi tıbbi kayıtlarını nitelikli durumlarının kanıtı olarak sunacaklardı” diyor Fowler, Wired’e söyler. “Her yerden birçok eyaletten kimlik belgeleri gördüm. Ve hatta tıbbi bir esrar kartı almak için kimlik kanıtı olarak gönderdikleri kişiler için temelde kimlikler için kimlikler olan suçlu sürüm kartları gördüm.”
Fowler, veritabanındaki dosyaların çoğunun PDF’ler, JPG’ler ve PNG’ler gibi görüntü formatları olduğunu söylüyor. “Personel yorumları” adı verilen bir CSV düz metin belgesi, dahili iletişim, randevu geçmişleri, müşteriler hakkında notlar ve başvuru durumu ihracatı gibi görünüyordu. Bu dosya ayrıca Ohio Medical Alliance çalışanlarının, iş ortaklarının ve müşterilerin 200.000’den fazla e -posta adresini içeriyordu.
Yanlış yapılandırılmış ve yanlışlıkla açık internette kamuya açık bırakılan veritabanları, hata ve gizlilik sonuçları hakkında farkındalığı artırma çabalarına rağmen çevrimiçi olarak yaygın bir sorundur.