עשרות אלפי נתונים אישיים של משתמשי קנאביס נחשפו, לרבות מידע השייך לחולי מריחואנה רפואית, עקב הפרה של מערכת מכירה הנהוגה בכל הענף.

חוקרי פרטיות באינטרנט בvpnMentorגילה את הפרת הנתונים ב-THSuite, מערכת נקודות מכירה של קנאביס. הנתונים שנחשפו התגלו בדלי אמזון S3 לא מאובטח לחלוטין ולא מוצפן בבעלות החברה.

הנתונים התגלו לראשונה בערב חג המולד של 2019. חוקרי vpnMentor, בראשות נועם רותם ורן לוקר, יצרו קשר עם THSuite זמן קצר לאחר מכן. מסד הנתונים שנחשף נסגר סופית ב-14 בינואר השנה.

הפרת הנתונים של THSuite משפיעה על מספר רב של חנויות מריחואנה ברחבי ארצות הברית. בסך הכל, vpnMentor מדווחת כי יותר מ-85,000 קבצים הודלפו בפרצת הנתונים, הכוללת יותר מ-30,000 רשומות רגישות המכילות מידע אישי מזהה.

סוג המידע במסד הנתונים שדלף מדאיג מאוד, במיוחד כאשר הוא נוגע להיסטוריה הרפואית של המטופל במקרים מסוימים. הנתונים האישיים שנמצאו בין הרשומות כוללים: שם מלא, תאריך לידה, מספר טלפון, מייל, כתובת רחוב, שם מטופל ומספר תעודת זהות רפואית, מגוון קנאביס וכמות שנרכשה, עלות העסקה הכוללת, תאריך קבלתו ועוד.

בהפרה התגלו גם תמונות של תעודות ממשלתיות ועובדים סרוקות.

על פי vpnMentor, החוקרים שלה אימתו רשומות השייכות לשלושה מרפאות מריחואנה שונות: AmediCanna Dispensary, מרפאת מריחואנה רפואית הממוקמת במרילנד, Bloom Medicinals, מרפאה למריחואנה רפואית עם מספר מיקומים ברחבי אוהיו, ומרפאת הפנאי Colorado Grow Company.

חוקרי הפרטיות מציינים בדו"ח שלהם, עם זאת, שההפרה היא מרחיקת לכת והשפיעה על יותר מרפאות מאלו הספציפיות המפורטות. למעשה, דוח vpnMentor מציין שיש אפשרות שכל הלקוחות של THSuite ולקוחותיה הושפעו.

הדו"ח מציין כי הנתונים הופכים את הצדדים המושפעים לרגישים להונאות ולהתקפות דיוג מתוחכמות. היא גם מציינת כי ההפרה עלולה להוביל לקנסות עבור בתי החולים בשל ההפרות האפשריות על פי תקנות HIPAA.