作為合法的大麻 它已經在美國各地擴展了娛樂和醫療用途,公司收集了有關客戶及其交易的數據。申請大麻醫療卡的人必須分享特定的個人健康數據以滿足條件。對於一些使用醫學雜草的俄亥俄患者,最近接觸數據可能會影響其敏感信息。
耶利米·福勒安全研究員 我發現一個數據庫可供公眾訪問 在7月中旬,似乎包含病歷,心理健康評級,醫生報告和IDS圖像,例如尋找醫療大麻卡的人的駕駛執照。 323-GB Trove存儲在一百萬個記錄附近,包括社會保險號,電子郵件地址,物理地址,出生日期和以名稱為單位的醫療數據。
根據描述特定員工和業務合作夥伴的信息,Fowler懷疑該數據屬於俄亥俄州醫療聯盟有限責任公司,該數據名稱為俄亥俄州大麻卡。 Fowler於7月14日與該公司聯繫。當他第二天檢查數據庫時,他得到了保護,並且不再在互聯網上被公眾訪問。福勒沒有收到有關他提交的答案。
俄亥俄州醫療聯盟沒有回答有關福勒的發現的有線問題。但是,有一次,公司總裁卡桑德拉·布魯克斯(Cassandra Brooks)在一封電子郵件中寫道:“我需要時間來調查這一事件。
福勒說:“有報導說,醫生會說基本問題是什麼 – 無論是焦慮,癌症,艾滋病毒還是其他問題。在某些情況下,候選人會提交自己的醫療記錄作為證明他們的合格狀況。 “我看到了來自許多州的認可文件,從各地,甚至看到釋放卡給了罪犯,這是對剛從監獄出來的人提供的基本ID,以證明獲得大麻醫療卡的身份證明。 ”
福勒說,數據庫中的大多數文件都是圖像格式,例如PDF,JPG和PNG。 CSV明文文檔稱為“人事評論”,似乎是內部通信,歷史約會,客戶註釋和申請狀態的出口。該文件還包含超過200,000個俄亥俄州醫療聯盟,業務合作夥伴和客戶的電子郵件地址。
儘管努力提高對錯誤及其隱私後果的認識,但已被誤導並意外地公開暴露於公開互聯網的數據庫是一個常見的互聯網問題。
