Компания THSuite, специализирующаяся на разработке программного обеспечения для диспансеров марихуаны в США, раскрыла данные десятков тысяч американских покупателей марихуаны. Данные принадлежали диспансерам, расположенным в штатах Мэриленд, Огайо и Колорадо (США).
Несмотря на то, что некоторые штаты в США считаются достаточно дружественными по отношению к марихуане, тем не менее, в них действуют строгие законы о ведении учета, которые требуют от диспансеров собирать личную информацию легальных покупателей марихуаны в точке продажи – именно эти данные стали легкодоступны для скачивания в Интернете. Раскрытые данные содержали сканы удостоверений личности с указанием дат рождения, идентификационные номера и адреса проживания. Конфиденциальная информация была легкодоступна для скачивания через Интернет всеми, кто хотел бы найти подобную информацию. Регистратор сообщил, что оставил эту информацию открытой в Интернете, после чего она стала доступна для пользователей поисковой системы Shodan.io. Данные были размещены в хранилище Amazon Web Services S3 и не были зашифрованы. Информация, которую можно было скачать, включала не только сканы паспортов, но также историю покупок, электронную почту и телефонные номера.
С прошлой недели данная информация уже недоступна для скачивания. В настоящее время неизвестно, использовали ли преступники раскрытую информацию. Эта утечка данных была обнаружена специалистами по информационной безопасности 24 декабря прошлого года, а через два дня об этом было сообщено в THSuite, которая обеспечила безопасность данных. Специалисты, которые столкнулись с этой утечкой данных, подтвердили, что, возможно, в числе раскрытой информации были записи о каждом диспансере, использующем решения THSuite, а это означает, что утечка 85 000 документов может включать в себя также данные от диспансеров, работающих в штате Калифорния.
Эта утечка данных является напоминанием о проблемах конфиденциальности, к которым может привести легальное употребление «травки». США – не единственная страна в Северной Америке, которая борется за сохранение конфиденциальности легальных пользователей марихуаны. Еще в 2018 году Почта Канады случайно раскрыла личные данные потенциальных легальных пользователей марихуаны. Данные, однако, не были столь чувствительными, поскольку они содержали только имена лиц, заказавших доставку, дату получения, а также их почтовый индекс. В прошлом году Министерство здравоохранения Канады также сообщила своим пользователям, что утечка данных может привести к раскрытию результатов диагностики и контактной информации более чем 30 000 потребителей марихуаны.
В свою очередь, у компании THSuite могут быть серьезные проблемы, поскольку, согласно правилам HIPPA, данный инцидент считается федеральным преступлением для любого поставщика медицинских услуг, раскрывшего закрытую медицинскую информацию, которая может быть использована для идентификации лечащегося человека. Несмотря на то, что THSuite не является поставщиком медицинских услуг, а только лишь компанией-разработчиком программного обеспечения, им все равно придется что-то объяснять: раскрытие такой конфиденциальной информации может привести к уголовной ответственности и крупным штрафам до 50 000 долларов США за каждую раскрытую запись.
Даже если утечка снова всплывет в Интернете, работодатели, требующих запрета наркотиков, не имеют права увольнять своих сотрудников, которые окажутся в этой базе данных. Тем не менее, такие утечки, несомненно, могут нанести ущерб легальному бизнесу по продаже марихуаны, поскольку поклонники марихуаны могут начать опасаться покупать «травку» легальным образом. Данный инцидент – это всего лишь еще одно напоминание о важности обеспечения конфиденциальности и необходимости более строгого регулирования в вопросах обработки персональных данных как на государственном уровне, так и в коммерческих предприятиях.
