Dati altamente sensibili dei pazienti che utilizzano cannabis terapeutica esposti da un database non protetto

Con l'espansione della cannabis legale negli Stati Uniti, sia per uso ricreativo che medico, le aziende hanno accumulato enormi quantità di dati sui clienti e sulle loro transazioni. Le persone che hanno richiesto la tessera per la marijuana terapeutica hanno dovuto condividere dati sanitari personali per ottenere l'autorizzazione. Per alcuni pazienti dell'Ohio che fanno uso di cannabis terapeutica, una recente esposizione di dati potrebbe avere ripercussioni sulle loro informazioni sensibili.

A metà luglio, il ricercatore di sicurezza Jeremiah Fowler ha scoperto un database accessibile al pubblico che sembrava contenere cartelle cliniche, valutazioni di salute mentale, referti medici e immagini di documenti d'identità come le patenti di guida di persone che richiedevano tessere per l'uso della cannabis a scopo terapeutico. Il database da 323 GB conteneva quasi un milione di record, tra cui numeri di previdenza sociale, indirizzi email, indirizzi fisici, date di nascita e dati medici, tutti organizzati per nome.

Sulla base di informazioni che sembravano descrivere specifici dipendenti e partner commerciali, Fowler sospettava che i dati appartenessero alla società con sede in Ohio Ohio Medical Alliance LLC, nota con il nome di Ohio Marijuana Card. Fowler contattò l'azienda il 14 luglio; quando controllò il database il giorno successivo, questo era stato protetto e non era più accessibile al pubblico online. Fowler non ricevette risposta in merito alla sua richiesta.

L'Ohio Medical Alliance non ha risposto alle domande di WIRED sulle conclusioni di Fowler. A un certo punto, però, la presidente dell'azienda, Cassandra Brooks, ha scritto in un'e-mail: "Ho bisogno di tempo per indagare su questo presunto incidente. Prendiamo molto seriamente la sicurezza dei dati e stiamo esaminando la questione".

"C'erano referti medici che indicavano quale fosse il problema di fondo, che si trattasse di ansia, cancro, HIV o altro. In alcuni casi, i richiedenti presentavano la propria cartella clinica come prova" della loro condizione qualificante, racconta Fowler a WIRED. "Ho visto documenti d'identità di molti stati, da ogni dove. E ho persino visto tessere di rilascio per detenuti, che sono fondamentalmente documenti d'identità per persone appena uscite di prigione, che presentavano come prova d'identità per ottenere una tessera per la marijuana terapeutica".

Fowler afferma che la maggior parte dei file nel database erano formati immagine come PDF, JPG e PNG. Un documento CSV in chiaro denominato "commenti del personale" sembrava essere un'esportazione di comunicazioni interne, cronologie degli appuntamenti, note sui clienti e stato delle domande. Quel file conteneva anche oltre 200.000 indirizzi email di dipendenti, soci in affari e clienti dell'Ohio Medical Alliance.

I database configurati in modo errato e inavvertitamente resi pubblici sulla rete Internet aperta rappresentano un problema comune online, nonostante gli sforzi per sensibilizzare l'opinione pubblica sull'errore e sulle sue implicazioni per la privacy.