Wyciek danych w legalnym sklepie z marihuaną. 40 tysięcy klientów ma poważny problem

W Kalifornii doszło do wycieku danych, który może wywołać poważne obawy wśród tysięcy klientów korzystających z legalnej dostawy marihuany. Firma Three Trees, działająca na rynku Sacramento i Bay Area, miała pozostawić publicznie dostępną bazę danych zawierającą niezwykle wrażliwe informacje. Wśród ujawnionych materiałów znalazły się nie tylko nazwiska i adresy domowe, ale także zdjęcia dokumentów tożsamości, selfie użytkowników oraz dane medyczne.

Badacze bezpieczeństwa natrafili na otwartą bazę MongoDB, do której można było dostać się bez żadnego uwierzytelnienia. Tego rodzaju błąd należy do najbardziej niebezpiecznych zaniedbań w cyfrowym świecie, ponieważ pozostawia prywatne informacje dosłownie na wyciągnięcie ręki dla każdego, kto natrafi na taki serwer.

Dziesiątki tysięcy klientów mogą mieć problem

Według ujawnionych informacji baza zawierała ponad 47 GB danych. Skala incydentu okazała się znacznie większa, niż początkowo przypuszczano. Wśród zapisów znajdowały się dane ponad 40 tysięcy numerów telefonów klientów oraz ponad 20 tysięcy adresów e-mail. To sugeruje, że liczba osób dotkniętych wyciekiem może być naprawdę wysoka.

Najbardziej niepokojące jest to, jak szczegółowe były przechowywane informacje. System zawierał adresy dostaw, daty urodzenia, numery kontaktowe, kopie dokumentów wydanych przez administrację publiczną, a także zdjęcia twarzy wykonywane podczas procesu weryfikacji wieku. W niektórych przypadkach pojawiały się nawet informacje związane z medycznym użyciem marihuany.

W bazie znajdowały się również dane kierowców realizujących dostawy. Ujawnione zostały ich nazwiska, adresy zamieszkania, zdjęcia prawa jazdy oraz informacje kontaktowe. To sprawia, że skutki wycieku mogą dotknąć nie tylko klientów, ale również pracowników firmy.

„Chociaż niektóre stany zalegalizowały używanie marihuany, wciąż istnieje wokół niej pewna stygmatyzacja. Osoby, których dane zostały ujawnione, mogą spotkać się z kontrolą ze strony innych obywateli, a nawet dyskryminacją ze strony pracodawców, jeśli takie informacje wpadną w niepowołane ręce” – twierdzą analitycy. 

Prywatność naruszona w wyjątkowo delikatnym obszarze

Choć w Kalifornii sprzedaż takich produktów jest legalna, zakup narkotyków bywa społecznie drażliwy. Dla wielu osób ujawnienie informacji o korzystaniu z tego typu usług może prowadzić do nieprzyjemnych konsekwencji zawodowych albo osobistych.

Eksperci wskazują, że tego rodzaju dane mogą zostać wykorzystane do prób szantażu, phishingu lub kradzieży tożsamości. Przestępcy coraz częściej wykorzystują połączenie danych osobowych z dokumentami i zdjęciami twarzy do zakładania fałszywych kont finansowych oraz obchodzenia procedur weryfikacyjnych.

W tym przypadku ryzyko jest jeszcze większe, ponieważ baza zawierała linki do zdjęć przechowywanych w chmurze, a dostęp do nich nie wymagał logowania. To oznacza, że osoby postronne mogły otwierać dokumenty i zdjęcia bez żadnych zabezpieczeń.

Jeden błąd wystarczył

Specjaliści podejrzewają, że przyczyną incydentu był zwykły błąd konfiguracyjny. W przypadku baz MongoDB bardzo często problemem okazuje się pozostawienie serwera bez aktywnego hasła lub bez ograniczenia dostępu z internetu. Three Trees została poinformowana o problemie pod koniec marca. Dopiero po kilkunastu dniach dostęp do danych został zamknięty. Nadal nie wiadomo, czy ktoś wcześniej pobrał te informacje lub wykorzystał je w nielegalny sposób. W świecie cyberprzestępczości nawet krótki czas publicznego udostępnienia może wystarczyć do skopiowania całej zawartości.

Kalifornia posiada jedne z najbardziej rygorystycznych przepisów dotyczących ochrony prywatności w Stanach Zjednoczonych. To oznacza, że firma może znaleźć się pod lupą regulatorów. Szczególnie istotne może okazać się przechowywanie danych biometrycznych i dokumentów tożsamości bez odpowiednich zabezpieczeń.