Zeer gevoelige patiëntgegevens over medicinale cannabis blootgelegd door onbeveiligde database

Naarmate legale cannabis zich in de Verenigde Staten uitbreidt voor zowel recreatief als medicinaal gebruik, hebben bedrijven enorme hoeveelheden gegevens over klanten en hun transacties verzameld. Mensen die een aanvraag hebben ingediend voor een medicinale wietpas, moesten met name persoonlijke gezondheidsgegevens delen om in aanmerking te komen. Voor sommige patiënten in Ohio die medicinale wiet gebruiken, kan een recente openbaarmaking van gegevens gevolgen hebben voor hun gevoelige informatie.

Beveiligingsonderzoeker Jeremiah Fowler ontdekte medio juli een openbaar toegankelijke database die medische dossiers, beoordelingen van de geestelijke gezondheid, doktersrapporten en afbeeldingen van identiteitsbewijzen zoals rijbewijzen leek te bevatten voor mensen die een medische cannabispas wilden. De 323 GB grote database bevatte bijna een miljoen records, waaronder burgerservicenummers, e-mailadressen, fysieke adressen, geboortedata en medische gegevens – allemaal geordend op naam.

Op basis van informatie die specifieke medewerkers en zakenpartners leek te beschrijven, vermoedde Fowler dat de gegevens toebehoorden aan het in Ohio gevestigde bedrijf Ohio Medical Alliance LLC, dat bekendstaat als Ohio Marijuana Card. Fowler nam op 14 juli contact op met het bedrijf; toen hij de volgende dag de database controleerde, bleek deze beveiligd te zijn en niet langer openbaar online toegankelijk. Fowler ontving geen reactie op zijn aanvraag.

Ohio Medical Alliance beantwoordde de vragen van WIRED over Fowlers bevindingen niet. Op een gegeven moment schreef de president van het bedrijf, Cassandra Brooks, echter in een e-mail: "Ik heb tijd nodig om dit vermeende incident te onderzoeken. We nemen gegevensbeveiliging zeer serieus en onderzoeken deze kwestie."

"Er waren doktersrapporten die aangaven wat het onderliggende probleem was – of het nu angst, kanker, hiv of iets anders was. In sommige gevallen dienden de aanvragers hun eigen medische dossiers in als bewijs" van hun kwalificerende aandoening, vertelt Fowler aan WIRED. "Ik zag identificatiedocumenten uit veel staten, overal vandaan. En ik zag zelfs vrijlatingskaarten voor gedetineerden, wat in feite identiteitsbewijzen zijn voor mensen die net uit de gevangenis zijn gekomen en die ze als identiteitsbewijs hebben ingediend om een medicinale wietpas te krijgen."

Fowler zegt dat de meeste bestanden in de database afbeeldingsformaten waren zoals pdf's, jpg's en png's. Een CSV-document met platte tekst, genaamd "personeelsopmerkingen", bleek een export te zijn van interne communicatie, afspraakgeschiedenis, aantekeningen over cliënten en de status van de sollicitaties. Dat bestand bevatte ook meer dan 200.000 e-mailadressen van medewerkers, zakenpartners en klanten van Ohio Medical Alliance.

Databases die verkeerd zijn geconfigureerd en onbedoeld openbaar op het openbare internet zijn achtergelaten, vormen een veelvoorkomend probleem online, ondanks pogingen om bewustzijn te creëren over de fout en de gevolgen voor de privacy.