Het Amerikaanse cannabisbedrijf Stiiizy heeft de persoonlijke gegevens van klanten gelekt, waaronder foto's van paspoorten en identiteitskaarten. De criminelen achter de Everest-ransomwaregroep claimen eind vorig jaar via hun eigen website in totaal 422.000 records van klanten te hebben buitgemaakt. Stiiizy laat klanten onder andere online cannabis bestellen. Om een account aan te maken moeten klanten eerst een foto van de voorkant van hun identiteitsbewijs en een selfie uploaden.

In een datalekmelding laat het cannabisbedrijf weten dat aanvallers tussen 10 oktober en 10 november vorig jaar klantgegevens hebben buitgemaakt. Het gaat om gegevens van paspoorten, rijbewijzen, identiteitskaarten en medische cannabisbewijzen, met daarop naam, adresgegevens, geboortedatum, pasfoto en handtekening, maar ook bestelgeschiedenis en 'andere persoonlijke informatie' (pdf).

De Everest-groep dreigde de informatie openbaar te maken als Stiiizy niet zou betalen. TechCrunch meldt dat de criminelen via de eigen website laten weten dat de informatie inmiddels is gepubliceerd. Hoe de aanvallers toegang tot de systemen en data konden krijgen is niet bekendgemaakt.