Sensible Daten von Cannabiskonsumenten sind bei einem „schwerwiegenden“ Verstoß durchgesickert
Internet-Datenschutzforscher von vpnMentor haben eine Datenschutzverletzung in Point-of-Sale-Software entdeckt, die in der Cannabisindustrie verwendet wird
Das Team unter der Leitung von Noam Rotem und Ran Locar identifizierte ein ungesichertes Datenarchiv von THSuite, das sensible Daten von zahlreichen Marihuana-Apotheken in den Vereinigten Staaten enthielt.
Unter den durchgesickerten Daten befanden sich Namen, Adressen, Regierungs- und Mitarbeiterausweise und weitere personenbezogene Daten.
THSuite bietet Software für Cannabisausgabestellen in den USA an. Um die staatlichen Gesetze einzuhalten, müssen Apotheken eine große Menge an Daten von jeder einzelnen Transaktion sammeln.
Die THSuite-Plattform wird verwendet, um all diese Daten zu verwalten, indem sie sich über eine API in das Rückverfolgbarkeitssystem jedes Staates einfügt, wodurch der Prozess schneller und einfacher wird.
Es wurde festgestellt, dass über 85,000 Dateien bei der Datenschutzverletzung durchgesickert sind, von denen 30,000 sensible, personenbezogene Daten enthielten. Laut vpnMentor enthielt das Leck auch gescannte Regierungs- und Firmenausweise.
WEITERLESEN: Millionen von Fingerabdrücken sind bei der jüngsten hochkarätigen Datenpanne durchgesickert
In einem Blogpost Einzelheiten zu dem Bericht sagte vpnMentor: „Der durchgesickerte Eimer enthielt so viele Daten, dass es uns nicht möglich war, alle Aufzeichnungen einzeln zu untersuchen.
„In der von uns überprüften Stichprobe von Einträgen fanden wir Informationen zu drei Marihuana-Apotheken an verschiedenen Orten in den USA.“
Amedicanna Dispensary, Bloom Medicinals und Colorado Grow Company gehörten zu den am stärksten betroffenen Unternehmen, aber der Verstoß betraf viele weitere Apotheken. vpnMentor geht sogar so weit zu sagen, dass es für alle THSuite-Kunden und -Kunden möglich ist, dass ihre Daten durchgesickert sind.
„Als Ergebnis dieser Datenschutzverletzung wurden sensible personenbezogene Daten von medizinischen Marihuana-Patienten und möglicherweise auch von Freizeit-Marihuana-Konsumenten offengelegt. Dies wirft einige ernsthafte Datenschutzbedenken auf.
„Medizinische Patienten haben ein gesetzliches Recht, ihre medizinischen Informationen aus gutem Grund geheim zu halten. Patienten, deren persönliche Daten durchgesickert sind, können sowohl persönlich als auch beruflich negative Konsequenzen haben.
Gemäß den HIPAA-Vorschriften gibt vpnMentor an, dass es in den USA ein Bundesverbrechen ist, wenn ein Gesundheitsdienstleister persönliche Informationen offenlegt. Verstöße können zu Bußgeldern von bis zu 50,000 US-Dollar für jeden durchgesickerten Datensatz führen.
Cannabiskonsum ist immer noch stigmatisiert. Einige Arbeitsplätze verbieten es sogar vollständig. vpnMentor befürchtet, dass Personen, die Cannabis entweder zu Erholungszwecken oder zu medizinischen Zwecken konsumieren, an ihrem Arbeitsplatz oder sogar zu Hause Konsequenzen haben könnten.
vpnMentor hat THSuite kontaktiert. Zum Zeitpunkt der Veröffentlichung hatten sie noch keine Antwort erhalten.