Un equipo de investigadores ha anunciado que decenas de miles de clientes de numerosos dispensarios estadounidenses de marihuana se han visto afectados por la filtración de datos de una compañía de software.
Los expertos de vpnMentor -autoridad en VPN (redes privadas virtuales) y anonimato Web- precisaron que la enorme cantidad de información puesta en línea el año pasado, y sin protección de contraseña, incluía identificaciones con fotografías y números telefónicos, así como direcciones de los domicilios privados de gran cantidad de usuarios de marihuana. Según el equipo, el archivo divulgado contenía los detalles personales de, por lo menos, 30,000 personas.
Esta semana, los investigadores Noam Rotem y Ran Locar escribieron en el blog de vpnMentor que la filtración fue rastreada hasta THSuite, compañía que desarrolla software para puntos de venta.
Se han identificado al menos tres dispensarios estadounidenses afectados por la filtración del algoritmo “cubeta con goteo” [leaky bucket] ocurrida en Amazon S3, servicio de Amazon Web Services que proporciona almacenamiento de objetos mediante una interfaz de servicio Web. Los establecimientos implicados incluyen a Amedicanna Dispensary, Bloom Medicinals y Colorado Grow Company, todos clientes de THSuite.
También lee: ¿Cuáles son los síntomas de la dependencia a la marihuana?
Por otra parte, los investigadores consideran “muy posible” que todos los clientes del desarrollador de software se hayan visto implicados en la filtración.
La primera vez que se descubrió la fuga en la base de datos albergada en la nube fue el 24 de diciembre del año pasado, y el problema se corrigió hasta el pasado 14 de enero, después que THSuite fuera notificada de la situación. Se presume que el total filtrado asciende a más de 85,000 archivos.
“Pudimos acceder a la cubeta [depósito de almacenamiento] porque estaba completamente desprotegida y sin encriptar. Nuestro equipo pudo visualizar todos los archivos alojados en la base de datos usando solo el navegador”, declaró vpnMentor.
“Los dispensarios de cannabis tienen que recoger grandes cantidades de información sensible para cumplir con los reglamentos estatales. El sistema de THSuite fue diseñado para simplificar el procedimiento de los operadores, ya que les permite integrarse con el sistema de rastreo API [interfaz de programación de aplicaciones] de todos los estados. A resultas de esto, la plataforma es capaz de acceder a muchos datos privados pertinentes a los dispensarios y sus clientes”.
Si bien las operaciones de Amedicanna Dispensary y Bloom Medicinals están restringidas a proporcionar marihuana de uso medicinal, Colorado Grow Company está dedicado a vender la hierba a usuarios recreativos.
La información filtrada de THSuite incluye nombres completos de los clientes, sus números telefónicos, fechas de nacimiento, números de identificación médica, firmas, y gramos y montos vendidos.
Los especialistas de vpnMentor consideran que la información expuesta podría tener implicaciones para la privacidad de usuarios, e insisten en que cualquiera que tenga inquietudes contacte directamente con sus proveedores de marihuana.
“Después de informarlos de la filtración, la gente de THSuite nunca respondió. Lo único que hicieron fue asegurar la cubeta una vez que nos pusimos en contacto con Amazon. Es conveniente que los usuarios se comuniquen con sus dispensarios para averiguar si son clientes de THSuite”, dijo un portavoz de vpnMentor entrevistado por Newsweek.
El equipo desconoce si alguien más accedió a los datos durante el tiempo que estuvieron vulnerados en línea. “Esto da pie a inquietudes de privacidad muy graves”, expresaron los investigadores en el blog de vpnMentor. “Los usuarios medicinales tienen el derecho legal de mantener privada su información médica”.
Te interesa: Cannabis: Una droga con mucha publicidad
Newsweek contactó con THSuite para pedir sus comentarios y la respuesta de los investigadores cibernéticos del desarrollador de software fue la siguiente:
“La cubeta filtrada contenía tal cantidad de datos que nos resultó imposible revisar todos los archivos de manera individual. En vez de eso, analizamos un puñado de entradas aleatorias para ver qué tipo de información fue vulnerada durante la filtración”.
Los inspectores de la compañía añadieron: “Con base en la muestra de archivos revisados, podemos decir que la información tenía que ver con tres dispensarios de marihuana… en Estados Unidos. Sin embargo, la filtración debió afectar muchos dispensarios más”.
El correo electrónico de THSuite concluye asegurando que la empresa siempre observa “los estándares aceptados en la industria” para proteger la información personal identificable de los usuarios. A pesar de ello, reconoce que “no podemos ofrecer una garantía absoluta de seguridad”.
