Quasi 1 milione di codici fiscali e cartelle cliniche esposti nel database dei pazienti che usano marijuana

L'Ohio Medical Alliance ha scoperto un database di pazienti che facevano uso di marijuana terapeutica contenente 957.000 dati, tra cui codici fiscali, documenti di identità, cartelle cliniche e note interne riservate.

Il ricercatore di sicurezza informatica Jeremiah Fowler ha identificato due database non protetti e non configurati correttamente, contenenti quasi un milione di record collegati a Ohio Medical Alliance LLC, un'azienda meglio conosciuta con il marchio Ohio Marijuana Card.

Fowler, che ha segnalato l'esposizione a Website Planet, ha scoperto che i database erano lasciati aperti senza crittografia o protezione tramite password, consentendo a chiunque avesse una connessione Internet di accedere a nomi, numeri di previdenza sociale (SSN), date di nascita, indirizzi di casa e immagini ad alta risoluzione delle patenti di guida.

I file contenevano anche informazioni mediche molto personali, come moduli di ammissione, certificazioni mediche e valutazioni relative a condizioni come il disturbo da stress post-traumatico (PTSD) e l'ansia.

Secondo il rapporto di Fowler condiviso con Hackread.com prima della pubblicazione, i 323 GB di database contenevano 957.434 record. Molti file erano in formato PDF e immagine, ordinatamente organizzati in cartelle etichettate con i nomi dei pazienti.

Oltre ai documenti medici, un file CSV denominato "commenti del personale" includeva note interne, aggiornamenti dei clienti e oltre 210.000 indirizzi e-mail appartenenti a pazienti, dipendenti e partner commerciali.

Ohio Medical Alliance LLC offre servizi di telemedicina e di persona per aiutare i pazienti a ottenere tessere per la marijuana terapeutica certificate da un medico. Secondo il suo sito web, l'azienda ha assistito oltre 330.000 pazienti in tutto il paese e gestisce cliniche in stati come Ohio, Arkansas, Kentucky, Louisiana, Virginia e West Virginia.

Dopo che Fowler ha avvisato l'azienda, l'accesso pubblico al database è stato limitato il giorno successivo. Tuttavia, non ha ricevuto alcuna risposta diretta alla sua segnalazione. Non è ancora chiaro se i dati siano stati gestiti internamente da Ohio Medical Alliance o da un fornitore terzo. Altrettanto preoccupante è il fatto che non sia possibile determinare per quanto tempo le informazioni siano rimaste esposte o se qualcun altro vi abbia avuto accesso prima che fossero protette.

L'impatto di un simile incidente è grave perché informazioni come i numeri di previdenza sociale, combinati con i dati della patente di guida, potrebbero essere utilizzate per furto di identità o frode finanziaria. I moduli di autorizzazione medica potrebbero essere utilizzati in modo improprio per accedere a ulteriori cartelle cliniche. Quel che è peggio, le valutazioni di salute mentale collegate ai nomi dei pazienti potrebbero esporli a discriminazioni o molestie se utilizzate impropriamente.

Sebbene la marijuana sia ormai legale per uso medico nella maggior parte degli stati degli Stati Uniti, e per uso ricreativo in quasi la metà, la legge federale la classifica ancora come illegale. Molti pazienti preferiscono mantenere la riservatezza sul loro uso, soprattutto quando vengono documentate condizioni delicate come il disturbo da stress post-traumatico o l'ansia. La divulgazione di questi dati attraverso cartelle cliniche mal gestite rischia di avere conseguenze ben più gravi di un danno finanziario: può compromettere le relazioni personali e il lavoro.

Fowler ha sottolineato che il suo lavoro si limita all'identificazione e alla segnalazione responsabile dei dati esposti. Non scarica né condivide dati sensibili oltre gli screenshot minimi necessari per la verifica.