USA. Wyciekły dane osób korzystających z medycznej marihuany

Strona główna Aktualności
fot. Shutterstock.com
fot. Shutterstock.com

O autorze

Ponad 30 tysięcy rekordów z wrażliwymi danymi klientów aptek wyciekło z niezabezpieczonego serwera platformy THSuite, która odpowiada za obsługę punktów medycznych zajmujących się legalną sprzedażą marihuany – donosi Dagma. Dane należą wprawdzie tylko do mieszkańców USA, ale technicznie rzecz ujmując, podobne niedopatrzenie może dotknąć każdego.

Jak czytamy w raporcie, naruszone zostały imiona, numery telefonów, adresy e-mail, daty urodzenia, a także dane dotyczące ubezpieczenia klientów punktów sprzedaży marihuany medycznej. Łącznie to ponad 85 tys. plików, w tym 30 tys. zawierających dane identyfikacyjne.

Pliki te były przechowywane na serwerze Amazon S3 w ramach THSuite, międzystanowego systemu do ewidencji pacjentów korzystających z legalnych konopi.

Napastnik nie musiał wykazywać się szczególnym kunsztem

Cała baza danych została bowiem, zapewne w wyniku pomyłki, udostępniona publicznie. Nie chroniło jej żadne hasło, a tym bardziej szyfrowanie. Nie wiadomo, jak długo działała w takiej formie, ale na trop wycieku badacze wpadli 24 grudnia. Przy czym z uwagi na pewne zawiłości formalne i konieczność zaangażowania Amazonu serwer udało się zamknąć dopiero 14 stycznia – wynika z podsumowania sprawy.

Znowu wyciekły wrażliwe dane użytkowników, dzieje się tak coraz częściej. Musimy sami zadbać o ochronę naszych danych instalując dobrego antywirusa.

Pacjenci tymczasem ucierpieli podwójnie. Nie dość, że utracili na tyle dużą porcję wrażliwych danych, aby narazić się na ataki phishingowe, to w dodatku padli ofiarą niedochowania tajemnicy lekarskiej. Dla wielu z nich jest to z pewnością krępujące.

Choroba naszych czasów

Co zabawne, choć zarazem przykre dla ofiar, najprawdopodobniej nikt nie zostanie pociągnięty do odpowiedzialności. W regulaminie rejestru THSuite znajduje się zapis, że operator godzi się z ryzykiem wycieku danych i pro forma przestrzega pacjentów, którzy muszą być takiej opcji świadomi. Przy amerykańskim systemie prawnym dobry adwokat obroni tej tezy.

– W dzisiejszych czasach nie ma miesiąca, w którym nie doszłoby do wycieku danych – komentuje Kamil Sadkowski, starszy analityk zagrożeń ESET. – Tego typu incydenty rodzą ryzyko kradzieży tożsamości osób, których dane zostały naruszone – słusznie zauważa.

Wniosek brzmi oczywiście, aby podawać w sieci najmniej danych jak to możliwe. Pytanie tylko, co z osobami, które do podawania tych danych są zmuszane tak, jak pacjenci w powyższym przykładzie. Facebooka czy Gmaila mieć nie trzeba, a opiekę medyczną owszem.

© dobreprogramy
s