Ponad 30 tysięcy rekordów z wrażliwymi danymi klientów aptek wyciekło z niezabezpieczonego serwera platformy THSuite, która odpowiada za obsługę punktów medycznych zajmujących się legalną sprzedażą marihuany – donosi Dagma. Dane należą wprawdzie tylko do mieszkańców USA, ale technicznie rzecz ujmując, podobne niedopatrzenie może dotknąć każdego.
Jak czytamy w raporcie, naruszone zostały imiona, numery telefonów, adresy e-mail, daty urodzenia, a także dane dotyczące ubezpieczenia klientów punktów sprzedaży marihuany medycznej. Łącznie to ponad 85 tys. plików, w tym 30 tys. zawierających dane identyfikacyjne.
Pliki te były przechowywane na serwerze Amazon S3 w ramach THSuite, międzystanowego systemu do ewidencji pacjentów korzystających z legalnych konopi.
Napastnik nie musiał wykazywać się szczególnym kunsztem
Cała baza danych została bowiem, zapewne w wyniku pomyłki, udostępniona publicznie. Nie chroniło jej żadne hasło, a tym bardziej szyfrowanie. Nie wiadomo, jak długo działała w takiej formie, ale na trop wycieku badacze wpadli 24 grudnia. Przy czym z uwagi na pewne zawiłości formalne i konieczność zaangażowania Amazonu serwer udało się zamknąć dopiero 14 stycznia – wynika z podsumowania sprawy.
Pacjenci tymczasem ucierpieli podwójnie. Nie dość, że utracili na tyle dużą porcję wrażliwych danych, aby narazić się na ataki phishingowe, to w dodatku padli ofiarą niedochowania tajemnicy lekarskiej. Dla wielu z nich jest to z pewnością krępujące.
Choroba naszych czasów
Co zabawne, choć zarazem przykre dla ofiar, najprawdopodobniej nikt nie zostanie pociągnięty do odpowiedzialności. W regulaminie rejestru THSuite znajduje się zapis, że operator godzi się z ryzykiem wycieku danych i pro forma przestrzega pacjentów, którzy muszą być takiej opcji świadomi. Przy amerykańskim systemie prawnym dobry adwokat obroni tej tezy.
– W dzisiejszych czasach nie ma miesiąca, w którym nie doszłoby do wycieku danych – komentuje Kamil Sadkowski, starszy analityk zagrożeń ESET. – Tego typu incydenty rodzą ryzyko kradzieży tożsamości osób, których dane zostały naruszone – słusznie zauważa.
Wniosek brzmi oczywiście, aby podawać w sieci najmniej danych jak to możliwe. Pytanie tylko, co z osobami, które do podawania tych danych są zmuszane tak, jak pacjenci w powyższym przykładzie. Facebooka czy Gmaila mieć nie trzeba, a opiekę medyczną owszem.
