E安全1月27日讯，据外媒报道，近日，美国用于医疗和休闲大麻药房的数据库支持销售系统THSuite遭到数据泄露，这个数据库涉及到将近30000名与医疗和休闲大麻产业有关的用户。

　　该数据库泄露于2019年12月24日被发现，该数据库为THSuite所有，被称为“种子销售”软件，它是美国各地药房的销售点(POS)和平台管理系统。据悉，由Noam Rotem和Ran Locar领导的VPNMentor研究团队表示，在没有任何身份验证或安全措施的情况下，他们在网上发现了一个不安全的Amazon S3 bucket，这是本次数据泄漏的源头。

　　目前，在美国的一些州，公民服用医用大麻是合法，但是，相关药房必须遵守严格的法律标准，防止用户出现滥用或违反州法律的行为。因此，像THSuite这样的自动系统可以使操作人员更容易遵守，并起到记录数据的作用。

　　但是，对于数据管理的前端和后端都需要安全性，对于此次数据泄露事件，单纯的支持POS系统的数据库保护似乎是不够。据VPNMentor专家称，本次事件暴露了美国大麻用户的敏感信息，超过85000个文件被暴露，被泄露的信息包括患者和工作人员的姓名、出生日期、电话号码、家庭地址、电子邮件地址、医疗身份证号码、使用过的大麻、价格、数量和收据等。

　　此外，研究人员从马里兰州，俄亥俄州和科罗拉多州的一些药房中随机抽取一些样品进行研究，以确定泄漏的深度。据悉，样本中有来自Amedicanna药房的记录，包括客户PII以及与公司库存和销售有关的信息。尤其是Bloom Medicinals的数据中包括类似的PII信息，以及大麻产品清单，供应商，价格，每月销售额，折扣，退货和所缴税款等信息。例外，Colorado Grow Company暴露的信息与每月销售，折扣，税金，员工姓名和库存清单有关，而且可能会有更多药房受到影响。

　　对于医疗数据泄露，美国早在1996年就出台了健康保险可移植性和责任法案（HIPAA），该法案规定了健康信息（PHI）的控制者必须严格保证数据的安全性。根据法律，违反HIPAA的人将面临数百万美元的罚款或入狱。同时， 研究人员表示，医学患者具有将其医学信息保密的合法权利，那些泄露用户信息的人可能会面临严重的追究责任。