Fast eine Million Sozialversicherungsnummern und Gesundheitsdaten in der Marihuana-Patientendatenbank offengelegt

Die Ohio Medical Alliance hat eine Patientendatenbank mit medizinischem Marihuana offengelegt, die 957.000 Datensätze enthält, darunter Sozialversicherungsnummern, Ausweise, Gesundheitsakten und vertrauliche interne Notizen.

Der Cybersicherheitsforscher Jeremiah Fowler identifizierte zwei ungeschützte, falsch konfigurierte Datenbanken mit fast einer Million Datensätzen, die mit Ohio Medical Alliance LLC verknüpft sind, einem Unternehmen, das besser unter seinem Markennamen Ohio Marijuana Card bekannt ist.

Fowler, der Website Planet von der Offenlegung berichtete, stellte fest, dass die Datenbanken ohne Verschlüsselung oder Passwortschutz offen gelassen wurden, sodass jeder mit einer Internetverbindung auf Namen, Sozialversicherungsnummern (SSN), Geburtsdaten, Privatadressen und hochauflösende Bilder von Führerscheinen zugreifen konnte.

Die Akten enthielten auch sehr persönliche medizinische Informationen, etwa Aufnahmeformulare, ärztliche Bescheinigungen und Beurteilungen im Zusammenhang mit Erkrankungen wie der posttraumatischen Belastungsstörung (PTBS) und Angstzuständen.

Laut Fowlers Bericht , der Hackread.com vor der Veröffentlichung zur Verfügung gestellt wurde, enthielten die 323 GB großen Datenbanken 957.434 Datensätze. Viele Dateien waren PDFs und Bildformate und übersichtlich in Ordnern mit den Namen der Patienten angeordnet.

Zusätzlich zu den medizinischen Dokumenten enthielt eine CSV-Datei mit dem Namen „Mitarbeiterkommentare“ interne Notizen, Kundenaktualisierungen und mehr als 210.000 E-Mail-Adressen von Patienten, Mitarbeitern und Geschäftspartnern.

Die Ohio Medical Alliance LLC bietet sowohl Telemedizin als auch persönliche Betreuung an, um Patienten bei der Erlangung ärztlich zertifizierter medizinischer Marihuana-Karten zu unterstützen. Laut ihrer Website hat das Unternehmen landesweit über 330.000 Patienten unterstützt und betreibt Kliniken in Bundesstaaten wie Ohio, Arkansas, Kentucky, Louisiana, Virginia und West Virginia.

Nachdem Fowler das Unternehmen informiert hatte, wurde der öffentliche Zugriff auf die Datenbank am folgenden Tag eingeschränkt. Er erhielt jedoch keine direkte Antwort auf seine Mitteilung. Es bleibt unklar, ob die Daten intern von der Ohio Medical Alliance oder von einem Drittanbieter verwaltet wurden. Ebenso besorgniserregend ist, dass sich nicht feststellen lässt, wie lange die Informationen zugänglich waren oder ob jemand anderes darauf zugegriffen hat, bevor sie gesichert wurden.

Die Folgen eines solchen Vorfalls sind gravierend, da Informationen wie Sozialversicherungsnummern in Verbindung mit Führerscheinen für Identitätsdiebstahl oder Finanzbetrug missbraucht werden könnten. Medizinische Freigabeformulare könnten missbraucht werden, um auf weitere Gesundheitsdaten zuzugreifen. Schlimmer noch: Psychiatrische Gutachten, die mit den Namen der Patienten verknüpft sind, könnten diese bei Missbrauch Diskriminierung oder Belästigung aussetzen.

Obwohl Marihuana mittlerweile in den meisten US-Bundesstaaten für medizinische Zwecke und in fast der Hälfte der Bundesstaaten für den Freizeitgebrauch legal ist, gilt es nach Bundesrecht immer noch als illegal. Viele Patienten möchten ihren Konsum vertraulich behandeln, insbesondere wenn sensible Erkrankungen wie PTBS oder Angstzustände dokumentiert sind. Die Offenlegung dieser Details durch unsachgemäße Handhabung der Unterlagen birgt nicht nur finanzielle Schäden, sondern kann auch persönliche Beziehungen und den Arbeitsplatz beeinträchtigen.

Fowler betonte, dass sich seine Arbeit auf die Identifizierung und verantwortungsvolle Meldung offengelegter Daten beschränke. Er lade keine vertraulichen Daten herunter und gebe sie auch nicht weiter, abgesehen von den zur Überprüfung erforderlichen Screenshots.