รายงาน: ข้อมูลที่ละเอียดอ่อนของผู้ใช้กัญชาเปิดเผยในการละเมิดข้อมูล

นำโดยนักวิจัยความเป็นส่วนตัวทางอินเทอร์เน็ต Noam Rotem และ Ran Locar ทีมวิจัยของ vpnMentor ค้นพบ การละเมิดข้อมูลใน THSuite ซึ่งเป็นระบบจุดขายในอุตสาหกรรมกัญชา.

ทีมของเราระบุว่าถัง Amazon S3 ที่ไม่มีการรักษาความปลอดภัยเป็นของ THSuite นั้น เปิดเผยข้อมูลที่ละเอียดอ่อนจากร้านจำหน่ายกัญชาหลายแห่ง ทั่วสหรัฐอเมริกาและลูกค้าของพวกเขา.

ข้อมูลรั่วไหลรวม สแกนรหัสรัฐบาลและพนักงานเปิดเผยข้อมูลส่วนบุคคล (PII) สำหรับบุคคลมากกว่า 30,000 คน.

ข้อมูล บริษัท THSuite

THSuite นำเสนอบริการซอฟต์แวร์การจัดการกระบวนการทางธุรกิจแก่เจ้าของและผู้ดำเนินการด้านเภสัชกรรมในสหรัฐอเมริกา.

ร้านขายยากัญชาต้องเก็บ ข้อมูลที่ละเอียดอ่อนจำนวนมากเพื่อให้สอดคล้องกับกฎหมายของรัฐ. แพลตฟอร์ม THSuite ได้รับการออกแบบมาเพื่อลดความซับซ้อนของกระบวนการนี้สำหรับผู้ให้บริการจ่ายยาโดยรวมเข้ากับระบบตรวจสอบย้อนกลับ API ของแต่ละรัฐโดยอัตโนมัติ.

ด้วยเหตุนี้แพลตฟอร์มจึงสามารถเข้าถึงข้อมูลส่วนตัวจำนวนมากที่เกี่ยวข้องกับการจ่ายยาและลูกค้า.

เส้นเวลาของการค้นพบและปฏิกิริยาของเจ้าของ

บางครั้งขอบเขตของการละเมิดข้อมูลและเจ้าของข้อมูลนั้นชัดเจนและปัญหาได้รับการแก้ไขอย่างรวดเร็ว แต่หายากเป็นครั้งนี้ ส่วนใหญ่มักจะ, เราต้องการการตรวจสอบหลายวันก่อนที่เราจะเข้าใจว่ามีอะไรอยู่ในสเตคหรือผู้ที่รั่วไหลของข้อมูล.

ทำความเข้าใจเกี่ยวกับการละเมิดและผลกระทบที่อาจเกิดขึ้น ระมัดระวังและเวลา. เราทำงานอย่างหนักเพื่อเผยแพร่ รายงานที่ถูกต้องและเชื่อถือได้, สร้างความมั่นใจให้ทุกคนที่อ่านพวกเขาเข้าใจความจริงจังของพวกเขา.

บุคคลที่ได้รับผลกระทบบางคนปฏิเสธข้อเท็จจริงโดยไม่สนใจงานวิจัยของเราหรือแสดงผลกระทบ ดังนั้นเราต้องละเอียดและตรวจสอบให้แน่ใจว่าทุกสิ่งที่เราค้นหานั้นถูกต้องและเป็นจริง.

ในกรณีนี้, เราระบุ THSuite ได้อย่างง่ายดายในฐานะเจ้าของฐานข้อมูลและติดต่อ บริษัท กับการค้นพบของเรา.

  • วันที่ค้นพบ: 24 ธันวาคม 2023
  • เจ้าของวันที่ได้รับการติดต่อ: 26 ธันวาคม 2023
  • วันที่ Amazon AWS ติดต่อ: 7 มกราคม 2023
  • ฐานข้อมูลวันที่ปิด: 14 มกราคม 2023

ตัวอย่างของรายการในฐานข้อมูล

ไฟล์มากกว่า 85,000 ไฟล์ ถูกรั่วไหลออกมาในการละเมิดข้อมูลนี้รวมถึง มากกว่า 30,000 รายการด้วย PII ที่ละเอียดอ่อน. การรั่วไหลนั้นรวมถึงรัฐบาลที่สแกนและรหัส บริษัท ที่จัดเก็บในถัง Amazon S3 ผ่าน Amazon Simple Storage Service.

ที่ฝากข้อมูลรั่วไหลมีข้อมูลจำนวนมาก เป็นไปไม่ได้ที่เราจะตรวจสอบบันทึกทั้งหมดทีละรายการ. แต่เรามองผ่านรายการสุ่มจำนวนหนึ่งเพื่อทำความเข้าใจว่าข้อมูลประเภทใดที่เปิดเผยในการละเมิดโดยรวม.

ในตัวอย่างของรายการที่เราตรวจสอบเราพบข้อมูลที่เกี่ยวข้องกับร้านขายยากัญชาสามแห่งในสถานที่ต่าง ๆ ทั่วสหรัฐอเมริกา: ร้านขายยา Amedicanna, บลูม Medicinals และ บริษัท โคโลราโดโกรฟ ตัวอย่างของรายการเหล่านี้อยู่ด้านล่าง.

อย่างไรก็ตาม, การละเมิดนี้ส่งผลต่อร้านขายยาจำนวนมาก. เป็นไปได้ว่าลูกค้า THSuite ทั้งหมดและลูกค้าของพวกเขามีส่วนร่วม.

เรายังพบภาพถ่ายของ บัตรประจำตัวที่มีรูปถ่ายที่ออกโดยภาครัฐ และลายเซ็นที่สอดคล้องกันของผู้เข้าชมร้านขายยาและผู้ป่วยเหมือนกัน นอกจากนี้ยังมีการยืนยันว่าผู้ป่วยแต่ละรายยอมรับกฎหมายของรัฐเกี่ยวกับการซื้อและการใช้ยาที่ใช้กัญชาเป็นอย่างไร.

ไฟล์ Amedicanna โอสถ

การฝ่าฝืน THSuite เกี่ยวข้องกับข้อมูลจาก AmediCanna โอสถ, กัญชาทางการแพทย์ที่ตั้งอยู่ในรัฐแมรี่แลนด์.

การรั่วไหลเปิดเผยรายละเอียดส่วนบุคคลต่อไปนี้เกี่ยวกับลูกค้าของ Amedicanna:

  • ชื่อเต็ม
  • หมายเลขโทรศัพท์
  • ที่อยู่อีเมล
  • วันเกิด
  • ที่อยู่ถนน
  • หมายเลขแพทย์ / รัฐและวันที่หมดอายุ
  • จำกัด กัญชากรัม
  • ลายเซ็น

THSuite ผู้ป่วยฝ่าฝืน

ฐานข้อมูลรวมอยู่ด้วย รายละเอียดเกี่ยวกับสินค้าคงคลังและการขายของ Amedicanna. เราสามารถดูรายการธุรกรรมด้วยข้อมูลต่อไปนี้:

  • ชื่อผู้ป่วยและหมายเลขประจำตัวทางการแพทย์
  • ชื่อพนักงาน
  • ซื้อกัญชาหลากหลายชนิด
  • ปริมาณการสั่งซื้อกัญชา
  • ต้นทุนการทำธุรกรรมทั้งหมด
  • วันที่ได้รับพร้อมกับรหัสรับภายใน

THSuite ละเมิดใบเสร็จรับเงิน

บลูมยา

Bloom Medicinals เป็นร้านจำหน่ายกัญชาทางการแพทย์ในรัฐโอไฮโอโดยมีสถานที่ตั้งอยู่ในเมือง Akron, Columbus, Maumee, Painesville และ Seven Mile.

การละเมิดข้อมูลเปิดเผยข้อมูลเกี่ยวกับร้านขายยา สินค้าคงคลังรายงานยอดขายรายเดือนและรายงานการปฏิบัติตามข้อกำหนด, เช่นกัน รายละเอียดผู้ป่วยดังต่อไปนี้:

  • ชื่อเต็ม
  • วันเกิด
  • ID การแพทย์ / รัฐและวันหมดอายุ
  • หมายเลขโทรศัพท์
  • ที่อยู่อีเมล
  • ที่อยู่ถนน
  • วันที่ซื้อครั้งแรก
  • ไม่ว่าผู้ป่วยจะได้รับความช่วยเหลือทางการเงินสำหรับการซื้อกัญชาหรือไม่
  • ไม่ว่าผู้ป่วยจะเลือกรับการแจ้งเตือนข้อความ SMS หรือไม่

เราสามารถดูยอดขายรายเดือนส่วนลดผลตอบแทนและภาษีที่จ่ายได้ ยอดขายลดลงอีกโดยวิธีการชำระเงินและประเภทผลิตภัณฑ์.

THSuite ฝ่าฝืนยอดขาย

ฐานข้อมูลรวมรายการผลิตภัณฑ์กัญชาแต่ละรายการพร้อมคำอธิบายสั้น ๆ ซัพพลายเออร์ของผลิตภัณฑ์และราคา.

บริษัท โคโลราโดโกรฟ

Colorado Grow Company เป็นร้านจำหน่ายกัญชาเพื่อการพักผ่อนหย่อนใจตั้งอยู่ในเมือง Durango รัฐโคโลราโด.

การละเมิดข้อมูลของ THSuite เปิดเผยรายงานยอดขายรายเดือนของโอสถสำหรับผลิตภัณฑ์กัญชาและผลิตภัณฑ์ที่ไม่ใช่กัญชารวมถึงยอดขายรวม, ส่วนลด, ภาษี, ยอดขายสุทธิและยอดรวมสำหรับการชำระเงินแต่ละประเภท.

การรั่วไหลสัมผัส ชื่อเต็มของพนักงานร้านขายยาและจำนวนชั่วโมงที่ทำงาน ในระหว่างระยะเวลาการจ่ายสองสัปดาห์.

THSuite ฝ่าฝืนชั่วโมงการทำงานของพนักงาน

ฐานข้อมูลยังรวมถึง รายการสินค้าคงคลังโดยละเอียด พร้อมชื่อผลิตภัณฑ์คำอธิบายการแยกต้นทุนและปริมาณในมือที่จ่ายยา.

เราไม่พบบันทึกใด ๆ ที่มีข้อมูลเฉพาะเกี่ยวกับลูกค้าของ Colorado Grow Company หรือผู้ใช้กัญชาเพื่อการพักผ่อนหย่อนใจอื่น ๆ อย่างไรก็ตามเนื่องจากเราไม่สามารถสำรวจข้อมูลที่รั่วไหลทั้งหมดในรายละเอียด, เราไม่สามารถมั่นใจได้ว่าบันทึกเหล่านี้ไม่มีอยู่จริง.

การละเมิดข้อมูล

การละเมิดข้อมูลนี้มีผลกระทบร้ายแรงต่อผู้จ่ายและลูกค้า.

ความกังวลเกี่ยวกับข้อมูลส่วนบุคคลสำหรับผู้ใช้กัญชา

อันเป็นผลมาจากการละเมิดข้อมูลนี้, ข้อมูลส่วนบุคคลที่ละเอียดอ่อนถูกเปิดเผยสำหรับผู้ป่วยกัญชาทางการแพทย์, และสำหรับผู้ใช้กัญชาเพื่อสันทนาการเช่นกัน สิ่งนี้ทำให้บางคนเพิ่มขึ้น ความกังวลเรื่องความเป็นส่วนตัวอย่างจริงจัง.

ผู้ป่วยด้านการแพทย์มีสิทธิ์ตามกฎหมายในการรักษาข้อมูลทางการแพทย์ของตนให้เป็นส่วนตัวด้วยเหตุผลที่ดี ผู้ป่วยที่มีข้อมูลส่วนบุคคลรั่วไหลออกมาอาจเผชิญกับผลกระทบด้านลบทั้งส่วนตัวและมืออาชีพ.

ภายใต้ข้อบังคับ HIPAA, เป็นอาชญากรรมของรัฐบาลกลางในสหรัฐอเมริกาสำหรับผู้ให้บริการด้านสุขภาพใด ๆ ที่จะเปิดเผยข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง (PHI) ที่สามารถใช้เพื่อระบุตัวบุคคล การละเมิด HIPAA อาจส่งผลให้มีค่าปรับสูงถึง $ 50,000 สำหรับบันทึกที่เปิดเผยทุกครั้งหรือแม้แต่ในคุก.

ร้านขายยากัญชาอยู่ในพื้นที่สีเทาทางกฎหมายเนื่องจากในสหรัฐอเมริกามีความขัดแย้งที่สำคัญระหว่างกฎหมายของรัฐบาลกลางและรัฐเกี่ยวกับกัญชาทางการแพทย์และการพักผ่อนหย่อนใจ แม้แต่ในรัฐที่อนุญาตให้ใช้กัญชาได้ภายใต้กฎหมายของรัฐ, มันยังคงเป็นสิ่งต้องห้ามภายใต้กฎหมายของรัฐบาลกลาง.

อย่างไรก็ตามผู้เชี่ยวชาญด้านกฎหมายส่วนใหญ่ยอมรับว่า ร้านขายยาจะต้องปฏิบัติตามกฎ HIPAA เช่นเดียวกับผู้ให้บริการดูแลสุขภาพอื่น ๆ.

สถานที่ทำงานหลายแห่งมีนโยบายเฉพาะที่ห้ามไม่ให้ใช้กัญชา ลูกค้าและผู้ป่วยอาจเผชิญกับผลกระทบที่เกิดจากการทำงานเนื่องจากมีการใช้กัญชาของพวกเขา. บางคนถึงกับตกงาน, โดยเฉพาะอย่างยิ่งถ้าพวกเขาทำงานให้กับหน่วยงานรัฐบาลกลาง.

แม้จะไม่มีความเสี่ยงด้านกฎหมาย แต่ก็ยังมี การใช้ความอัปยศรอบ ๆ กัญชา. บุคคลอาจประสบปัญหาฟันเฟืองหากครอบครัวเพื่อนและเพื่อนร่วมงานพบว่าพวกเขาใช้กัญชา.

การหลอกลวงและการโจมตีแบบหลอกลวง

แฮกเกอร์และผู้หลอกลวงสามารถใช้ประโยชน์จากข้อมูลส่วนตัวที่เปิดเผยในการละเมิดข้อมูลเกี่ยวกับลูกค้าและพนักงานที่จ่ายยาเพื่อสร้าง การโจมตีฟิชชิ่งส่วนบุคคลที่มีประสิทธิภาพสูง.

หมายเลขโทรศัพท์ที่เปิดเผยและสถานะการเลือกใช้การแจ้งเตือนข้อความ ให้โอกาสที่สมบูรณ์แบบสำหรับการโจมตีแบบฟิชชิ่ง นักแสดงที่เป็นอันตรายสามารถใช้อีเมลที่รั่วไหลออกมาและที่อยู่ที่บ้านเพื่อกำหนดเป้าหมายบุคคล.

แฮกเกอร์สามารถใช้รายละเอียดส่วนบุคคลที่เปิดเผยได้อย่างง่ายดาย รวบรวมข้อมูลส่วนบุคคลมากขึ้นผ่านบัญชีโซเชียลมีเดีย และแหล่งข้อมูลออนไลน์อื่น ๆ ข้อมูลรายละเอียดเกี่ยวกับการซื้อล่าสุดที่เปิดเผยในการละเมิดข้อมูลสามารถใช้ เข้าถึงบัญชีการเงินส่วนตัว.

หากมีข้อมูลเพียงพอฝ่ายที่ประสงค์ร้ายก็สามารถทำได้ กระทำการโจรกรรม, ซึ่งอาจมีผลกระทบระยะยาวที่ร้ายแรงมาก.

ส่งผลกระทบต่อร้านขายยา

การละเมิดข้อมูลยังส่งผลกระทบต่อร้านขายยาที่เชื่อถือได้ THSuite ด้วยข้อมูลส่วนตัวของพวกเขา ร้านขายยาเหล่านี้อาจพบว่าตัวเองกำลังเผชิญ ผลกระทบที่สำคัญเนื่องจากการละเมิด HIPAA ที่เป็นไปได้ที่สร้างขึ้นโดยการละเมิดนี้.

ปัญหาอีกประการหนึ่งคือการจ่ายยาที่แข่งขันกันในขณะนี้สามารถเข้าถึงข้อมูลโดยละเอียดเกี่ยวกับลูกค้าและสินค้าคงคลังของการจ่ายยาเหล่านี้.

ธุรกิจเหล่านี้สามารถใช้ประโยชน์จากสิ่งนี้เพื่อปรับปรุงกลยุทธ์การกำหนดราคาและการนำเสนอผลิตภัณฑ์ พวกเขายังสามารถใช้ข้อมูลลูกค้าที่รั่วไหลออกมาเพื่อสร้าง แคมเปญโฆษณาที่กำหนดเป้าหมาย.

ร้านขายยาที่ได้รับผลกระทบอาจสูญเสียลูกค้า อันเป็นผลมาจากการละเมิดข้อมูล แม้ว่าร้านขายยาจะไม่รับผิดชอบโดยตรงลูกค้าอาจลังเลที่จะ เชื่อถือโอสถเหล่านี้ด้วยข้อมูลส่วนบุคคลของพวกเขา หลังจากที่มันรั่ว.

คำแนะนำจากผู้เชี่ยวชาญ

THSuite สามารถหลีกเลี่ยงการรั่วไหลนี้ได้อย่างง่ายดายหากพวกเขาได้รับบางส่วน มาตรการรักษาความปลอดภัยขั้นพื้นฐาน เพื่อปกป้องถัง Amazon S3 สิ่งเหล่านี้รวมถึง แต่ไม่ จำกัด เพียง:

  • รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ
  • ใช้กฎการเข้าถึงที่เหมาะสม
  • อย่าออกจากระบบที่ไม่จำเป็นต้องเปิดใช้งานการตรวจสอบสิทธิ์กับอินเทอร์เน็ต

บริษัท ใด ๆ สามารถทำซ้ำขั้นตอนเดียวกันไม่ว่าจะมีขนาดเท่าใด. หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการปกป้องธุรกิจของคุณโปรดอ่านคำแนะนำเชิงลึกของเราที่ รักษาความปลอดภัยเว็บไซต์และฐานข้อมูลออนไลน์ของคุณจากแฮกเกอร์.

สำหรับร้านขายยาที่ได้รับผลกระทบ

เราขอแนะนำให้ติดต่อ THSuite โดยตรง เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยของ บริษัท และวิธีการวางแผนเพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลของคุณในอนาคต.

อย่างน้อยที่สุด THSuite ควรตรวจสอบเพื่อค้นหาว่าการละเมิดข้อมูลนี้เกิดขึ้นได้อย่างไรและนำขั้นตอนการรักษาความปลอดภัยใหม่มาใช้ ตรวจสอบให้แน่ใจว่าสิ่งนี้ไม่เคยเกิดขึ้นอีกครั้ง.

ในอนาคตเราขอแนะนำให้คุณ ให้บริการของบุคคลที่สามอย่างทั่วถึง คุณจ้างเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดและมีมาตรการรักษาความปลอดภัยหลายอย่างเพื่อปกป้องข้อมูลที่สำคัญของคุณ.

สำหรับลูกค้าที่ได้รับผลกระทบ

หากคุณเป็นลูกค้าหรือผู้ป่วยของร้านขายยากัญชา, เราขอแนะนำให้คุณพูดคุยกับผู้ให้บริการของคุณโดยตรงเพื่อดูว่าพวกเขาใช้ THSuite หรือเคยใช้ในอดีต.

หากคุณเชื่อว่าข้อมูลส่วนตัวของคุณอาจถูกเปิดเผยในการละเมิดข้อมูลนี้มีขั้นตอนที่คุณสามารถทำได้เพื่อลดผลกระทบ.

อ่านของเรา คู่มือฉบับสมบูรณ์เพื่อความเป็นส่วนตัวออนไลน์ เพื่อเรียนรู้เกี่ยวกับเทคนิคที่แฮ็กเกอร์ใช้เพื่อบุกรุกความเป็นส่วนตัวของคุณและสิ่งที่คุณสามารถทำได้เพื่อปกป้องตัวคุณเอง เราขอแนะนำให้คุณ ใช้ VPN เพื่อปกป้องข้อมูลส่วนตัวของคุณ จากอาชญากรไซเบอร์ที่อาจพยายามกำหนดเป้าหมายคุณหลังจากที่มีการรั่วไหลของข้อมูล.

คุณอาจต้องการพูดถึงร้านขายยาเพื่อหาวิธีรับประกันความปลอดภัยและความเป็นส่วนตัวของคุณในอนาคต.

เราค้นพบช่องโหว่อย่างไรและทำไม

ทีมวิจัย vpnMentor ค้นพบการละเมิดนี้ในฐานข้อมูลของ THSuite ซึ่งเป็นส่วนหนึ่งของเรา โครงการทำแผนที่เว็บขนาดใหญ่.

ทีมวิจัยของเราสแกนพอร์ตเพื่อค้นหาบล็อก IP ที่รู้จัก จากนั้นทีมจะค้นหาช่องโหว่ในระบบที่จะระบุว่าเป็นฐานข้อมูลแบบเปิด.

เราสามารถเข้าถึงถัง S3 ของ THSuite ได้เพราะไม่ปลอดภัยและไม่ได้เข้ารหัสอย่างสมบูรณ์. ด้วยการใช้เว็บเบราว์เซอร์ทีมสามารถเข้าถึงไฟล์ทั้งหมดที่โฮสต์บนฐานข้อมูล.

หลังจากพบการละเมิดข้อมูลเราพยายามอย่างดีที่สุดในการเชื่อมโยงฐานข้อมูลกลับไปยังเจ้าของ จากนั้นเราจะติดต่อเจ้าของเพื่อแจ้งให้ทราบถึงช่องโหว่และแนะนำวิธีที่เจ้าของสามารถปรับปรุงความปลอดภัยของระบบของพวกเขา.

ในฐานะที่เป็นแฮกเกอร์และนักวิจัยที่มีจริยธรรมเราไม่เคยขายจัดเก็บหรือเปิดเผยข้อมูลที่เราพบ. เป้าหมายของเราคือการปรับปรุงความปลอดภัยโดยรวมและความปลอดภัยของอินเทอร์เน็ตสำหรับทุกคน.

เกี่ยวกับเราและรายงานก่อนหน้า

vpnMentor เป็นเว็บไซต์ตรวจสอบ VPN ที่ใหญ่ที่สุดในโลก ห้องปฏิบัติการวิจัยของเราเป็นบริการแบบมืออาชีพที่พยายามช่วยเหลือชุมชนออนไลน์ในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์ในขณะที่ให้ความรู้แก่องค์กรเกี่ยวกับการปกป้องข้อมูลของผู้ใช้.

เราเพิ่งพบ การละเมิดข้อมูลขนาดใหญ่ที่เปิดเผยประวัติการเข้าชมของผู้ใช้อินเทอร์เน็ตบนมือถือในแอฟริกาใต้. เราก็ค้นพบ มากกว่า 1TB ของข้อมูลรั่วไหลโดย LightInTheBox ผู้ค้าปลีกออนไลน์ของจีน.