La fuga de datos afecta a los usuarios de hashish de EE. UU., Se expone información confidencial


Estudio dice que Grindr, OkCupid y Tinder infringen GDPR
Los investigadores detrás del estudio también presentaron una queja pidiendo a los reguladores noruegos que inicien una investigación contra el servicio de citas.

Otro día, otra base de datos con fugas, y esta ha impactado a 30,000 personas conectadas a la industria médica y recreativa de la marihuana.

El miércoles, el equipo de investigación de VPNMentor, liderado por Noam Rotem y Ran Locar, dijo que un cubo de Amazon S3 no asegurado descubierto en línea sin ninguna autenticación o seguridad establecida era la fuente de la fuga.

Según los informes, la foundation de datos, encontrada el 24 de diciembre de 2019 como parte del proyecto de escaneo world wide web de la empresa, es propiedad de THSuite, descrito como software «semilla a venta»: un punto de venta (POS) y un sistema de gestión utilizado en dispensarios en todo Estados Unidos.

La marihuana medicinal ahora está permitida por ley en algunos estados de EE. UU. Sin embargo, los dispensarios están sujetos a estrictos estándares legales para evitar el abuso o la violación de la ley estatal, y como resultado, los sistemas automáticos como THSuite pueden facilitar el cumplimiento y el mantenimiento de registros para los operadores.

Sin embargo, necesita seguridad tanto en el extremo frontal como en el posterior, y en este caso, la foundation de datos que respalda los sistemas POS parece haberse quedado corta.

Según VPNMentor, se filtró información de identificación personalized (PII) perteneciente a 30,000 personas. En overall, más de 85,000 archivos fueron expuestos a cualquiera que tropezó con la base de datos.

Los nombres completos de pacientes y miembros del particular, fechas de nacimiento, números de teléfono, direcciones físicas, direcciones de correo electrónico, números de identificación médica, hashish utilizado, precio, cantidad y recibos estaban disponibles para ver.

Ver también: Los proveedores de antivirus introducen soluciones para el método de ataque EFS ransomware

Además, se registraron «identificaciones escaneadas del gobierno y de los empleados» en el cubo con fugas, almacenado a través del Servicio de almacenamiento easy de Amazon.

En lugar de examinar cada registro, lo que evitaría las líneas de comportamiento ético, los investigadores tomaron algunas muestras aleatorias relacionadas con dispensarios en Maryland, Ohio y Colorado para determinar la profundidad de la fuga.

Entre las muestras se encontraban registros del Dispensario de Amedicanna, incluida la PII del cliente e información relacionada con el inventario y las ventas de la empresa. Bloom Medicinals incluyó información de identificación private similar, junto con listas de productos de hashish, proveedores, precios, ventas mensuales, descuentos, devoluciones e impuestos pagados. La información expuesta de Colorado Develop Corporation está relacionada con ventas mensuales, descuentos, impuestos, nombres de empleados y listas de inventario. Es possible que haya más dispensarios afectados.

CNET: La aplicación Clearview permite que extraños encuentren su nombre, información con solo tomar una foto, según el informe

Como una violación de datos médicos, puede haber consecuencias bajo la Ley de Responsabilidad y Portabilidad del Seguro Médico de EE. UU. (HIPPA) de 1996, que exige que los controladores de la información de salud protegida (PHI) implementen una seguridad estricta. Según la ley, aquellos que violen la ley HIPPA pueden enfrentar multas multimillonarias o prisión.

«Los pacientes médicos tienen el derecho authorized de mantener su información médica privada «, dicen los investigadores.» Aquellos cuya información private se filtró pueden enfrentar consecuencias negativas tanto personal como profesionalmente «.

TechRepublic: Las recompensas de errores no te harán rico (pero deberías participar de todos modos)

Dos días después de que se descubrió la foundation de datos, VPNMentor contactó a THSuite pero no recibió respuesta. Esto llevó a los investigadores a contactar a Amazon AWS el 7 de enero de 2020. Una semana después, se revocó el acceso a la base de datos.

ZDNet se ha comunicado con THSuite y los dispensarios afectados y se actualizará cuando recibamos una respuesta.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary