Prawie milion numerów ubezpieczenia społecznego i dokumentacji medycznej ujawnionych w bazie danych pacjentów używających marihuany

Ohio Medical Alliance ujawniło bazę danych pacjentów leczonych marihuaną zawierającą 957 000 rekordów, w tym numery ubezpieczenia społecznego, dowody osobiste, dokumentację medyczną i poufne notatki wewnętrzne.

Badacz zajmujący się bezpieczeństwem cybernetycznym Jeremiah Fowler zidentyfikował dwie niezabezpieczone, błędnie skonfigurowane bazy danych zawierające prawie milion rekordów powiązanych z Ohio Medical Alliance LLC, firmą lepiej znaną pod marką Ohio Marijuana Card.

Fowler, który poinformował o wycieku danych serwis Website Planet, odkrył, że bazy danych były otwarte, bez szyfrowania ani ochrony hasłem, dzięki czemu każda osoba mająca połączenie z internetem mogła uzyskać dostęp do imion i nazwisk, numerów ubezpieczenia społecznego (SSN), dat urodzenia, adresów domowych oraz zdjęć praw jazdy w wysokiej rozdzielczości.

W aktach znajdowały się również bardzo osobiste informacje medyczne, takie jak formularze przyjęcia, zaświadczenia lekarskie i oceny dotyczące takich schorzeń, jak zespół stresu pourazowego (PTSD) i lęk.

Według raportu Fowlera udostępnionego Hackread.com przed publikacją, w 323 GB bazach danych znajdowało się 957 434 rekordów. Wiele plików to pliki PDF i obrazy, uporządkowane w folderach oznaczonych nazwiskami pacjentów.

Oprócz dokumentów medycznych w pliku CSV o nazwie „komentarze personelu” znajdowały się wewnętrzne notatki, aktualizacje klientów i ponad 210 000 adresów e-mail należących do pacjentów, pracowników i partnerów biznesowych.

Ohio Medical Alliance LLC oferuje usługi telemedyczne i stacjonarne, pomagając pacjentom uzyskać karty na medyczną marihuanę certyfikowane przez lekarzy. Według strony internetowej, firma udzieliła wsparcia ponad 330 000 pacjentów w całym kraju i prowadzi kliniki w stanach takich jak Ohio, Arkansas, Kentucky, Luizjana, Wirginia i Wirginia Zachodnia.

Po tym, jak Fowler powiadomił firmę, następnego dnia dostęp publiczny do bazy danych został ograniczony. Nie otrzymał jednak bezpośredniej odpowiedzi na swoje ujawnienie. Nie jest jasne, czy danymi zarządzała wewnętrznie organizacja Ohio Medical Alliance, czy też zewnętrzny wykonawca. Równie niepokojące jest to, że nie ma sposobu na ustalenie, jak długo informacje były ujawnione ani czy ktokolwiek inny miał do nich dostęp przed ich zabezpieczeniem.

Skutki takiego incydentu są poważne, ponieważ informacje takie jak numery ubezpieczenia społecznego w połączeniu z prawem jazdy mogą zostać wykorzystane do kradzieży tożsamości lub oszustw finansowych. Formularze zgody na badania lekarskie mogą zostać wykorzystane do uzyskania dostępu do dodatkowej dokumentacji medycznej. Co gorsza, badania zdrowia psychicznego oparte na nazwiskach pacjentów mogą narazić ich na dyskryminację lub nękanie, jeśli zostaną wykorzystane niewłaściwie.

Chociaż marihuana jest obecnie legalna do użytku medycznego w większości stanów USA, a do użytku rekreacyjnego w prawie połowie, prawo federalne nadal klasyfikuje ją jako nielegalną. Wielu pacjentów woli zachować poufność swojego używania, zwłaszcza gdy udokumentowane są wrażliwe schorzenia, takie jak PTSD czy lęk. Ujawnienie tych informacji poprzez niewłaściwie prowadzone zapisy grozi nie tylko stratami finansowymi; może mieć wpływ na relacje osobiste i zatrudnienie.

Fowler podkreślił, że jego praca ogranicza się do identyfikacji i odpowiedzialnego raportowania ujawnionych danych. Nie pobiera ani nie udostępnia poufnych danych poza minimalnymi zrzutami ekranu wymaganymi do weryfikacji.