俄亥俄州医用大麻公司数据泄露：近百万敏感记录暴露，隐私保护敲响警钟

一家为俄亥俄州居民提供医用大麻卡的本地公司Ohio Medical Alliance LLC（以Ohio Marijuana Card名义运营）近日遭遇数据泄露事件。安全研究员Jeremiah Fowler于7月中旬发现一个公开访问的数据库，其中包含近百万条记录，涉及客户的健康评估、医生报告、身份证件（包括驾照和社会安全号码）、出生日期、住址及姓名等高度敏感的个人健康与身份信息。

此次泄露的数据量高达323GB，文件格式多样，包括PDF、JPG、PNG等图片格式，以及包含内部沟通、客户记录和申请状态的CSV明文文件。该文件还暴露了超过20万个公司员工、商业伙伴及客户的电子邮件地址。Fowler在发现问题后迅速联系了该公司，数据库在次日即被安全加固，但公司方面未对此事做出公开回应，仅表示正在调查此事，并强调公司高度重视数据安全。

该事件凸显了在合法大麻行业数据管理方面的严峻挑战。为获取医用大麻资格而收集的个人健康数据，其敏感性远超一般消费数据，一旦泄露将对用户隐私构成严重威胁。即便在加强数据安全意识的背景下，配置错误的数据库意外暴露于互联网仍属常见问题，这要求行业内企业必须采取更严谨的数据保护措施，以维护用户信任和合规性。

Highly Sensitive Medical Cannabis Patient Data Exposed by Unsecured Database

Nearly a million records, which appear to be linked to a medical-cannabis-card company in Ohio, included Social Security numbers, government IDs, health conditions, and more.

WIREDLily Hay Newman