Una empresa de targetes de cànnabis medicinal d'Ohio va deixar gairebé un milió de registres de pacients exposats en una base de dades no protegida. Aquest arxiu, de 323GB, incloïa dades personals molt sensibles com **números de la Seguretat Social, informes mèdics i psicològics, condicions de salut (com ansietat, càncer o VIH), i imatges de carnets d'identitat**. També s’hi van trobar documents d’alliberament per a persones que sortien de la presó i sol·licitaven una targeta de cànnabis medicinal.

Els documents estaven formats principalment per PDFs, imatges i un arxiu CSV amb **més de 200.000 adreces electròniques** d’empleats, socis comercials i clients. Aquesta exposició representa un risc molt alt de **robatori d’identitat i violacions de privacitat mèdica**, perquè combina informació sanitària amb dades financeres i identificatives.

Encara que la base de dades pertanyia aparentment a Ohio Medical Alliance LLC (coneguda com Ohio Marijuana Card), no es pot assegurar si era gestionada directament per ells o per un tercer, ni durant quant temps va estar exposada ni si algú més hi va accedir. L’empresa assegura al seu web que la informació dels pacients es guarda de manera confidencial i complint lleis de privacitat sanitària, però aquesta bretxa posa en qüestió la seguretat real d’aquests sistemes.