- Mit der Expansion des Cannabisgebrauchs in den USA sammeln Unternehmen viele sensible Kundendaten an. Sicherheitsforscher Jeremiah Fowler entdeckte eine ungesicherte Datenbank mit medizinischen Aufzeichnungen und persönlichen Informationen in Ohio. Die kompromittierte Datenbank umfasste etwa eine Million Datensätze, darunter Sozialversicherungsnummern und medizinische Informationen. Fehlkonfigurierte Datenbanken sind ein wachsendes Problem, das die Notwendigkeit verstärkter Sicherheitsprotokolle unterstreicht. Unternehmen müssen wachsam bleiben, um den Schutz der Privatsphäre zu gewährleisten und Vertrauen zu erhalten.
Mit der stetigen Expansion des legalen Cannabisgebrauchs in den USA, sowohl zu medizinischen als auch zu Freizeit-Zwecken, haben Unternehmen eine Fülle sensibler Kundendaten und Transaktionsinformationen angesammelt. Patienten, die sich um medizinische Marihuana-Karten bewerben, müssen dabei oft äußerst persönliche Gesundheitsdaten mitteilen, um ihre Berechtigung nachzuweisen. Jüngste Datenexpositionen, insbesondere in Ohio, könnten die Vertraulichkeit dieser sensiblen Informationen gefährden.
Mangelnde Datensicherheit aufgedeckt
In der Mitte des Julis entdeckte der Sicherheitsforscher Jeremiah Fowler eine öffentlich zugängliche Datenbank, die vertrauliche medizinische Aufzeichnungen, psychiatrische Gutachten, ärztliche Berichte und Fotos von Ausweisdokumenten wie Führerscheinen von Personen enthielt, die medizinische Cannabis-Karten beantragen wollten. Diese umfangreiche Sammlung von 323 Gigabyte umfasste etwa eine Million Datensätze, darunter Sozialversicherungsnummern, E-Mail-Adressen, physische Adressen, Geburtsdaten und medizinische Informationen, alles akribisch nach Namen sortiert. Es wurde vermutet, dass diese empfindlichen Daten der in Ohio ansässigen Firma Ohio Medical Alliance LLC, auch bekannt als Ohio Marijuana Card, zugehörig waren.
Fowler kontaktierte das Unternehmen am 14. Juli; einen Tag später war die Datenbank gesichert und nicht mehr öffentlich zugänglich. Ohio Medical Alliance reagierte nicht auf Nachfragen zu Fowlers Entdeckungen. Die Firmenleitung unterstrich jedoch das Engagement für Datensicherheit und untersuchte den Vorfall.
Konsequenzen für betroffene Patienten
Die kompromittierten Dateien enthielten nicht nur übliche medizinische Berichte, die Krankheitsbilder wie Angstzustände, Krebs oder HIV behandelten, sondern auch Dokumente von Personen aus verschiedenen Bundesstaaten, die beweisen mussten, dass sie die Kriterien für eine medizinische Cannabis-Genehmigung erfüllten. Auffällig waren auch Häftlingsausweiskarten, die als Identitätsnachweis hochgeladen wurden. Die meisten Datensätze lagen in Bildformaten wie PDF, JPG und PNG vor, wobei ein CSV-Textdokument namens „Mitarbeiterkommentare“ interne Kommunikation, Terminhistorien sowie Client-Kommentare beinhaltete. Besonders besorgniserregend ist die große Anzahl von über 200.000 E-Mail-Adressen von Mitarbeitern, Geschäftspartnern und Kunden, was Sicherheitslücken im System aufzeigt.
Datenlecks als wachsendes Problem
Datenbanken, die fehlerhaft konfiguriert und dadurch versehentlich öffentlich zugänglich gelassen wurden, stellen trotz verstärkter Bewusstmachung der Vertraulichkeitsrisiken ein ernsthaftes Problem dar. Diese Lücken unterstreichen die Notwendigkeit, Sicherheitsprotokolle in Unternehmen zu stärken, um den Schutz der Privatsphäre zu gewährleisten und künftig solcherlei Vorfälle zu verhindern. Die Korrespondenzen im Falle der Ohio Medical Alliance zeigen, dass Unternehmen wachsam bleiben müssen und kontinuierlich in die Verbesserung ihrer Sicherheitsprotokolle investieren sollten, um das Vertrauen ihrer Kunden nicht zu gefährden und den Missbrauch sensibler Daten zu verhindern.
