Une faille informatique de THSuite, société liée aux dispensaires de cannabis, a laissé les données personnelles de plusieurs dizaines de milliers d’Américains sans protection pendant trois semaines.
Une base de données « ni sécurisée ni cryptée »
L’affaire a été découverte par les experts en cybersécurité du site vpnMentor. Dans un rapport publié le 24 janvier dernier, ils expliquent avoir découvert une base de données laissée sans protection appartenant à THSuite (société qui conçoit des plateformes de vente pour les dispensaires de cannabis).
Le rapport de vpnMentor explique que cette brèche pouvait permettre à n’importe qui d’avoir accès à toutes les datas stockées. «Nous avons pu accéder à cette base de données, car elle n’était ni sécurisée ni cryptée. Grâce à un navigateur, l’équipe a pu accéder à tous les fichiers hébergés», expliquent-ils.
On parle ici d’informations personnelles concernant plus de 30 000 acheteurs de cannabis : scans de carte d’identité, type de cannabis acheté, des adresses et numéros d’identification médicale. Une faille informatique découverte le 24 décembre dernier par vpnMentor et qui a contacté THSuite deux jours après pour voir cette brèche colmatée le 14 janvier.
À préciser également que THSuite s’est montré très silencieux sur l’affaire. Ils ont réglé le problème de sécurité, mais n’ont pas souhaité répondre à vpnMentor sur le fond du dossier.
L’entreprise a simplement affirmé suivre « les normes industrielles généralement acceptées » pour protéger les informations personnelles des utilisateurs tout en reconnaissant quel « ne peut pas garantir la sécurité absolue ».
De leur côté, les dispensaires qui travaillent avec le site ont préféré jouer la transparence avec leurs clients. L’un d’entre eux, Bloom Medicinals, a affirmé être « conscient de la violation des données » en confirmant qu’elle aurait pu «avoir un impact sur certaines données des patients».
« Nous menons actuellement une enquête approfondie et travaillons en étroite collaboration avec THSuite pour identifier avec précision quels patients de Bloom Medicinals ont été touchés. Une fois que nous aurons identifié les patients affectés, nous informerons chaque personne» a déclaré le dispensaire. VpnMentor rappelle aussi que laisser des données médicales exposées est un crime fédéral aux yeux de la HIPAA (Health Insurance Portability and Accountability Act).
La cybersécurité après le profit ?
Bien que pour le moment, il n’y ait aucune preuve que ces données ont été piratées par des personnes mal intentionnées, cette affaire démontre comment la vie privée des consommateurs est reléguée au second plan. «Cela soulève de graves problèmes de protection de la vie privée» expliquent les spécialistes de vpnMentor avant d’ajouter que «les patients ont le droit de garder leurs informations médicales privées».
Matthew Dunn, directeur général associé de la division « Cyber Risk Practice » du cabinet de conseil américain Kroll s’est penchée sur cette affaire pour nos confrères du Cannabis Dispensary. Pour lui «l’industrie du cannabis est encore relativement nouvelle, avec des startups qui se lancent sans cesse et les stratégies de cybersécurité ne sont pas toujours une priorité pour les nouvelles entreprises qui viennent de démarrer».
Il explique que c’est cette jeunesse de l’industrie est en fait une cible. En effet, sans protection des données, les dispensaires et autres professionnels du cannabis s’exposent aux risques de cryptage de leurs données contre rançon. Afin d’aider ces entreprises à prendre conscience du problème, Dunn donne plusieurs pistes. Dans un premier temps, il suggère «d’éduquer le personnel et de leur fournir une formation de sensibilisation à la sécurité pour leur faire savoir qu’ils sont ciblés chaque jour, afin qu’ils soient un peu plus méfiants». Enfin, il recommande des «mots de passe robustes, la mise en place de systèmes de vérification multipoints et le cryptage des données sensibles». Des mesures qui ne relèvent visiblement pas du bon sens pour THSuite.
Vincent
