Seiring meluasnya legalisasi ganja di seluruh Amerika Serikat untuk penggunaan rekreasi dan medis, perusahaan-perusahaan telah mengumpulkan banyak sekali data tentang pelanggan dan transaksi mereka. Orang-orang yang mengajukan kartu mariyuana medis bahkan harus membagikan data kesehatan yang sangat pribadi untuk memenuhi kualifikasi. Bagi sejumlah pasien di Ohio yang menggunakan ganja medis, paparan data baru-baru ini berpotensi membahayakan informasi sensitif mereka.
Pada pertengahan Juli, peneliti keamanan Jeremiah Fowler menemukan basis data yang dapat diakses publik yang tampaknya berisi rekam medis, evaluasi kesehatan jiwa, laporan dokter, dan gambar identitas seperti SIM dari orang-orang yang mengajukan kartu ganja medis. Kumpulan data sebesar 323 GB itu menyimpan hampir sejuta catatan, termasuk nomor Jaminan Sosial, alamat surel, alamat fisik, tanggal lahir, dan data medis—semuanya terorganisir berdasarkan nama.
Berdasarkan informasi yang tampaknya mendeskripsikan karyawan dan mitra bisnis tertentu, Fowler menduga data tersebut milik perusahaan asal Ohio, Ohio Medical Alliance LLC, yang beroperasi dengan nama Ohio Marijuana Card. Fowler menghubungi perusahaan tersebut pada 14 Juli; ketika dia memeriksa basis datanya keesokan hari, aksesnya telah diamankan dan tidak lagi bisa diakses publik secara daring. Fowler tidak menerima respons apapun atas laporannya.
Ohio Medical Alliance tidak menjawab pertanyaan WIRED mengenai temuan Fowler. Namun, pada suatu titik, presiden perusahaan tersebut, Cassandra Brooks, menulis dalam sebuah surel: “Saya butuh waktu untuk menyelidiki insiden yang diduga ini. Kami sangat serius dalam hal keamanan data dan sedang menyelidiki masalah ini.”
“Ada laporan dokter yang menyebutkan apa masalah dasarnya—entah itu kecemasan, kanker, HIV, atau yang lain. Dalam beberapa kasus, para pelamar mengirimkan rekam medis mereka sendiri sebagai bukti” kondisi yang memenuhi syarat, kata Fowler kepada WIRED. “Saya melihat dokumen identitas dari banyak negara bagian, dari mana-mana. Bahkan saya melihat kartul pembebasan narapidana, yang pada dasarnya adalah KTP untuk orang yang baru saja bebas dari penjara, yang mereka ajukan sebagai bukti identitas untuk mendapatkan kartu ganja medis.”
Fowler menyatakan bahwa sebagian besar berkas dalam basis data berformat gambar seperti PDF, JPG, dan PNG. Satu dokumen teks biasa CSV berjudul “komentar staf” tampaknya merupakan ekspor dari komunikasi internal, riwayat janji temu, catatan tentang klien, dan status aplikasi. Berkas itu juga berisi lebih dari 200.000 alamat surel karyawan Ohio Medical Alliance, rekanan bisnis, serta pelanggan.
Basis data yang salah konfigurasi dan tanpa sengaja terbuka untuk publik di internet terbuka merupakan masalah yang umum terjadi secara daring, meskipun telah ada berbagai upaya untuk meningkatkan kesadaran tentang kesalahan ini dan implikasi privasinya.