À medida que a cannabis legal cresceu nos Estados Unidos, tanto para uso recreativo quanto médico, empresas coletaram grandes quantidades de dados sobre os clientes e suas transações. Pessoas que solicitaram cartões de maconha medicinal tiveram que compartilhar dados de saúde especialmente pessoais para se qualificar. Para alguns pacientes de Ohio que usam maconha medicinal, uma recente exposição de dados pode afetar suas informações sensíveis.
O pesquisador de segurança Jeremiah Fowler encontrou um banco de dados publicamente acessível em meados de julho que parecia conter registros médicos, avaliações de saúde mental, relatórios de médicos e imagens de identidades como carteiras de motorista para pessoas que procuram cartões de maconha medicinal. O tesouro de 323 GB armazenava quase um milhão de registros, incluindo números de Seguro Social, endereços de e-mail, endereços físicos, datas de nascimento e dados médicos — tudo organizado por nome.
Com base em informações que pareciam descrever funcionários e parceiros comerciais específicos, Fowler suspeitava que os dados pertenciam à empresa com sede em Ohio, Ohio Medical Alliance LLC, que opera sob o nome de Ohio Marijuana Card. Fowler entrou em contato com a empresa em 14 de julho; quando ele verificou o banco de dados no dia seguinte, ele havia sido seguro e não estava mais disponível online. Fowler não recebeu resposta sobre sua denúncia.
A Ohio Medical Alliance não respondeu às perguntas da WIRED sobre as descobertas de Fowler. Em um determinado momento, no entanto, a presidente da empresa, Cassandra Brooks, escreveu em um e-mail: “Preciso de tempo para investigar esse suposto incidente. Levamos a segurança de dados muito a sério e estamos investigando esse assunto.”
“Havia relatórios de médicos que descreviam qual era o problema subjacente — fosse ansiedade, câncer, HIV ou algo mais. Em alguns casos, os requerentes enviavam seus próprios registros médicos como prova” de sua condição qualificada, Fowler diz à WIRED. “Vi documentos de identificação de muitos estados, de todo lugar. E até mesmo vi cartões de libertação de infratores, que são basicamente identidades para pessoas que acabaram de sair da prisão e os enviaram como prova de identidade para obter um cartão de maconha medicinal.”
Fowler diz que a maioria dos arquivos no banco de dados eram formatos de imagem como PDFs, JPGs e PNGs. Um documento de texto simples CSV chamado “comentários da equipe” parecia ser uma exportação de comunicações internas, históricos de consultas, notas sobre clientes e status de aplicativos. Esse arquivo também continha mais de 200.000 endereços de e-mail de funcionários, parceiros comerciais e clientes da Ohio Medical Alliance.
Bancos de dados mal configurados que foram deixados inadvertidamente expostos ao público na internet são um problema comum online, apesar dos esforços para conscientizar sobre o erro e suas implicações de privacidade.
