À medida que a cannabis legal se expandiu pelos Estados Unidos para uso recreativo e medicinal, as empresas acumularam enormes quantidades de dados sobre clientes e suas transações. Pessoas que solicitaram cartões de maconha medicinal tiveram que compartilhar dados de saúde particularmente pessoais para se qualificar. Para alguns pacientes em Ohio que usam maconha medicinal, uma recente exposição de dados pode impactar suas informações sensíveis.
O pesquisador de segurança Jeremiah Fowler encontrou um banco de dados acessível publicamente em meados de julho que parecia conter registros médicos, avaliações de saúde mental, relatórios de médicos e imagens de documentos de identidade, como carteiras de motorista, de pessoas que buscavam cartões de cannabis medicinal. O tesouro de 323GB armazenava cerca de um milhão de registros, incluindo números de Seguro Social, endereços de e-mail, endereços físicos, datas de nascimento e dados médicos – tudo organizado por nome.
Com base em informações que pareciam descrever funcionários e parceiros de negócios específicos, Fowler suspeitou que os dados pertenciam à empresa com sede em Ohio, Ohio Medical Alliance LLC, que é conhecida como Ohio Marijuana Card. Fowler entrou em contato com a empresa em 14 de julho; quando verificou o banco de dados no dia seguinte, ele havia sido protegido e não estava mais acessível publicamente online. Fowler não recebeu uma resposta sobre sua submissão.
A Ohio Medical Alliance não respondeu às perguntas da WIRED sobre as descobertas de Fowler. Em um determinado momento, no entanto, a presidente da empresa, Cassandra Brooks, escreveu em um e-mail: “Preciso de tempo para investigar este incidente alegado. Levamos a segurança dos dados muito a sério e estamos analisando este assunto.”
“Existiam relatórios de médicos que diziam qual era o problema subjacente – se era ansiedade, câncer, HIV ou algo mais. Em alguns casos, os candidatos enviavam seus próprios registros médicos como prova” de sua condição qualificada, diz Fowler à WIRED. “Vi documentos de identificação de muitos estados, de todos os lugares. E até vi cartões de liberação de infratores, que são basicamente documentos de identidade para pessoas que acabaram de sair da prisão e que foram submetidos como prova de identidade para obter um cartão de maconha medicinal.”
Fowler diz que a maioria dos arquivos no banco de dados estava em formatos de imagem como PDFs, JPGs e PNGs. Um documento CSV em texto simples chamado “comentários da equipe” parecia ser uma exportação de comunicações internas, históricos de consultas, notas sobre clientes e status de aplicações. Esse arquivo também continha mais de 200.000 endereços de e-mail de funcionários da Ohio Medical Alliance, associados comerciais e clientes.
Bancos de dados que estão mal configurados e que foram inadvertidamente deixados publicamente expostos na internet aberta são um problema comum online, apesar dos esforços para aumentar a conscientização sobre o erro e suas implicações de privacidade.