THSuite公司泄露大量大麻用户信息

数据泄露一直是各大公司经常遇到的问题。而在近期，又有安全研究人员在网上发现了THSuite公司的一个不受保护的数据库（主要和供医疗和娱乐的大麻药房销售点系统有关）。

此次泄露的数据被储存在一个不安全的S3存储桶中，是由VPNMentor的研究人员发现的，影响了近3万人。

在美国的一些州，医用大麻是合法流通的，而THSuite就是为大麻药房的所有者和经营者提供业务流程管理的软件服务。

为了遵守州法律，药房会收集大量的敏感信息，而THSuite的软件解决方案简化了收集流程，并可通过众多用户的敏感数据实现一个有效的跟踪系统。

根据VPNmentor发表的报告：“超过85000个文件在这次数据泄露中被泄露，其中包括30000多条敏感的私人信息记录。此外还有通过Amazon Simple Storage服务存储在Amazon S3存储桶中的政府和公司的被扫描的ID。”

“在我们检查的数据样本中，发现了与美国各地三家大麻药房有关的信息：Amedicanna Dispensary、Bloom Medicinals和Colorado Grow Company。”

专家指出，此次数据泄露可能影响了更多的药房，所有THSuite客户及其服务对象都可能受到了影响。

泄露的数据包括病人和工作人员的全名、出生日期、电话号码、物理地址、电子邮件地址、医疗身份证号码、使用过的大麻、价格、数量和收据。

数据库中还有关于Amedicanna的库存和销售的详细信息。其中的交易清单包含以下数据：

• 病人姓名及身份证号码

• 员工的名字

• 购买大麻品种

• 购买大麻数量

• 总成本

• 收到日期以及内部收据ID

此外政府雇员的身份扫描信息也被泄露。

大麻使用者的个人数据泄露可能会对大量用户产生严重影响（特别是生活和工作方面）。

“根据HIPAA的规定，在美国，任何医疗服务提供商泄露受保护的健康信息（PHI）都是联邦犯罪行为，特别是此次泄露的信息可用来识别个人身份。若确定违反HIPAA规定，每泄露一条记录，最高可被罚款5万美元，甚至入狱。”

THSuite数据泄漏时间线：

发现日期：2019年12月24日

报告日期：2019年12月26日

联系亚马逊的日期：2020年1月7日

数据库关闭日期：2020年1月14日

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/96745/data-breach/thsuite-data-breach.html