Dados altamente sensíveis de pacientes de cannabis medicinal expostos por banco de dados não seguro

À medida que a cannabis legal se expandiu pelos Estados Unidos para uso recreativo e medicinal, as empresas acumularam uma grande quantidade de dados sobre os clientes e suas transações. Pessoas que solicitaram cartões de maconha medicinal tiveram que compartilhar dados de saúde particularmente pessoais para se qualificar. Para alguns pacientes em Ohio que usam maconha medicinal, uma exposição recente de dados pode afetar suas informações confidenciais.

Em meados de julho, o pesquisador de segurança Jeremiah Fowler encontrou um banco de dados de acesso público que parecia conter registros médicos, avaliações de saúde mental, relatórios médicos e imagens de documentos de identidade, como carteiras de motorista, para pessoas que buscavam cartões de cannabis medicinal. O acervo de 323 GB armazenava quase um milhão de registros, incluindo números de Seguro Social, endereços de e-mail, endereços físicos, datas de nascimento e dados médicos — todos organizados por nome.

Com base em informações que pareciam descrever funcionários e parceiros comerciais específicos, Fowler suspeitou que os dados pertencessem à empresa Ohio Medical Alliance LLC, sediada em Ohio, conhecida como Ohio Marijuana Card. Fowler contatou a empresa em 14 de julho; quando verificou o banco de dados no dia seguinte, ele havia sido protegido e não estava mais acessível publicamente online. Fowler não recebeu resposta sobre sua solicitação.

A Ohio Medical Alliance não respondeu às perguntas da WIRED sobre as descobertas de Fowler. Em dado momento, porém, a presidente da empresa, Cassandra Brooks, escreveu em um e-mail: "Preciso de tempo para investigar este suposto incidente. Levamos a segurança de dados muito a sério e estamos investigando este assunto."

“Havia laudos médicos que diziam qual era o problema subjacente — se era ansiedade, câncer, HIV ou qualquer outra coisa. Em alguns casos, os candidatos apresentavam seus próprios registros médicos como comprovante” da condição que os qualificava, conta Fowler à WIRED. “Vi documentos de identidade de vários estados, de todos os lugares. E até vi cartões de liberação de infratores, que são basicamente documentos de identidade de pessoas que acabaram de sair da prisão, apresentados como comprovante de identidade para obter um cartão de maconha medicinal.”

Fowler afirma que a maioria dos arquivos no banco de dados eram em formatos de imagem, como PDFs, JPGs e PNGs. Um documento CSV de texto simples, chamado "comentários da equipe", parecia ser uma exportação de comunicações internas, históricos de consultas, notas sobre clientes e status de inscrições. Esse arquivo também continha mais de 200.000 endereços de e-mail de funcionários, parceiros comerciais e clientes da Ohio Medical Alliance.

Bancos de dados mal configurados e inadvertidamente expostos publicamente na internet são um problema comum on-line, apesar dos esforços para conscientizar sobre o erro e suas implicações de privacidade.