THSuite公司泄露大量大麻用户信息

iso60001  32天前

22.png

数据泄露一直是各大公司经常遇到的问题。而在近期,又有安全研究人员在网上发现了THSuite公司的一个不受保护的数据库(主要和供医疗和娱乐的大麻药房销售点系统有关)。

此次泄露的数据被储存在一个不安全的S3存储桶中,是由VPNMentor的研究人员发现的,影响了近3万人。

在美国的一些州,医用大麻是合法流通的,而THSuite就是为大麻药房的所有者和经营者提供业务流程管理的软件服务。

为了遵守州法律,药房会收集大量的敏感信息,而THSuite的软件解决方案简化了收集流程,并可通过众多用户的敏感数据实现一个有效的跟踪系统。

根据VPNmentor发表的报告:“超过85000个文件在这次数据泄露中被泄露,其中包括30000多条敏感的私人信息记录。此外还有通过Amazon Simple Storage服务存储在Amazon S3存储桶中的政府和公司的被扫描的ID。”

“在我们检查的数据样本中,发现了与美国各地三家大麻药房有关的信息:Amedicanna Dispensary、Bloom Medicinals和Colorado Grow Company。”

33.jpg

专家指出,此次数据泄露可能影响了更多的药房,所有THSuite客户及其服务对象都可能受到了影响。

泄露的数据包括病人和工作人员的全名、出生日期、电话号码、物理地址、电子邮件地址、医疗身份证号码、使用过的大麻、价格、数量和收据。

数据库中还有关于Amedicanna的库存和销售的详细信息。其中的交易清单包含以下数据:

  • 病人姓名及身份证号码

  • 员工的名字

  • 购买大麻品种

  • 购买大麻数量

  • 总成本

  • 收到日期以及内部收据ID

此外政府雇员的身份扫描信息也被泄露。

大麻使用者的个人数据泄露可能会对大量用户产生严重影响(特别是生活和工作方面)。

“根据HIPAA的规定,在美国,任何医疗服务提供商泄露受保护的健康信息(PHI)都是联邦犯罪行为,特别是此次泄露的信息可用来识别个人身份。若确定违反HIPAA规定,每泄露一条记录,最高可被罚款5万美元,甚至入狱。”

THSuite数据泄漏时间线:

发现日期:2019年12月24日

报告日期:2019年12月26日

联系亚马逊的日期:2020年1月7日

数据库关闭日期:2020年1月14日

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/96745/data-breach/thsuite-data-breach.html

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号