Dirigido por los investigadores de seguridad de Internet Noam Rotem y Ran Locar, el equipo de investigación de vpnMentor descubrió una violación de datos en THSuite, un sistema de punto de venta en la industria del cannabis.
El equipo de investigación identificó un contenedor no seguro de Amazon S3 propiedad de THSuite que expuso 85,000 archivos de datos confidenciales de múltiples dispensarios de marihuana en los Estados Unidos y sus clientes. Los datos filtrados incluyeron identificaciones escaneadas del gobierno y de los empleados, exponiendo información de identificación personal (PII) para más de 30,000 personas.
THSuite ofrece servicios de software de gestión de procesos comerciales a los propietarios y operadores de dispensarios de cannabis en los EE. UU. Los dispensarios de cannabis tienen que recopilar grandes cantidades de información confidencial para cumplir con las leyes estatales, dice el informe. Según THSuite, la plataforma THSuite está diseñada para simplificar este proceso para los operadores de dispensarios al integrarse automáticamente con el sistema de trazabilidad API de cada estado.
En la muestra de entradas que el equipo de vpnMentor comprobó, encontraron información relacionada con tres dispensarios de marihuana en diferentes lugares de los EE. UU .: Dispensario Amedicanna, Bloom Medicinals y Colorado Grow Company. El equipo de vpnMentor dice que la violación afectó a muchos más dispensarios y que es posible que todos los clientes de THSuite y sus clientes se vieran afectados.
Los investigadores también encontraron fotografías de identificaciones con fotografía emitidas por el gobierno y las firmas correspondientes de los clientes de los dispensarios y pacientes por igual. Además, hay acuerdos de confidencialidad y privacidad de lo que parece ser que cada paciente reconoce las leyes estatales sobre la compra y el uso de medicamentos a base de cannabis.
Según las regulaciones de HIPAA, es un delito federal en los EE. UU. Que cualquier proveedor de servicios de salud exponga información de salud protegida (PHI) que podría usarse para identificar a un individuo. Como resultado de la violación de datos, los investigadores dicen que THSuite podría estar sujeto a violaciones de HIPAA, lo que puede resultar en multas de hasta $ 50,000 dólares por cada registro expuesto, o incluso en la cárcel.
Además, los investigadores dicen que los piratas informáticos y los estafadores pueden aprovechar los datos personales expuestos en la violación de datos sobre clientes y empleados de dispensarios para crear ataques de phishing personalizados altamente efectivos.
Fuente: Security Magazine
0 Comentarios