In een ander voorbeeld van verkeerd geconfigureerde cloudservices die van invloed zijn op de beveiliging, zijn meer dan een miljard records van CVS Health online openbaar gemaakt.
Donderdag onthulde WebsitePlanet samen met onderzoeker Jeremiah Fowler de vondst van een online database van CVS Health. De database was niet beveiligd met een wachtwoord en had geen enkele vorm van authenticatie om onbevoegde toegang te voorkomen.
Bij onderzoek van de database vond het team meer dan een miljard records die verband hielden met de Amerikaanse gezondheidszorg- en farmaceutische gigant , die merken bezit, waaronder CVS Pharmacy en Aetna.
De database, 204 GB groot, bevatte gebeurtenis- en configuratiegegevens, waaronder productierecords van bezoekers-ID's, sessie-ID's, toegangsgegevens van apparaten – zoals of bezoekers van de domeinen van het bedrijf een iPhone of Android-handset gebruikten – evenals wat het team noemt een “blauwdruk” van hoe het logsysteem werkte vanuit de backend.
Zoekrecords die zijn blootgelegd, bevatten ook vragen over medicijnen, COVID-19-vaccins en een verscheidenheid aan CVS-producten, waarbij wordt verwezen naar zowel CVS Health als CVS.com.
“Hypothetisch zou het mogelijk zijn geweest om de sessie-ID te matchen met wat ze tijdens die sessie zochten of aan het winkelwagentje toevoegden en vervolgens proberen de klant te identificeren met behulp van de blootgestelde e-mails”, stelt het rapport.
De onderzoekers zeggen dat de onbeveiligde database kan worden gebruikt voor gerichte phishing door kruisverwijzingen te maken naar sommige van de e-mails die ook in het systeem zijn geregistreerd – waarschijnlijk door onbedoelde verzending van de zoekbalk – of voor kruisverwijzingen naar andere acties. Ook concurrenten waren mogelijk geïnteresseerd in de zoekopdrachtgegevens die in het systeem werden gegenereerd en opgeslagen.
WebsitePlanet stuurde een privébericht naar CVS Health en ontving snel een reactie waarin werd bevestigd dat de dataset van het bedrijf was.
CVS Health zei dat de database namens het bedrijf werd beheerd door een niet nader genoemde leverancier en dat de openbare toegang na openbaarmaking was beperkt.
“In maart van dit jaar bracht een beveiligingsonderzoeker ons op de hoogte van een openbaar toegankelijke database die niet-identificeerbare CVS Health-metadata bevatte,” vertelde CVS Health aan ZDNet. “We hebben onmiddellijk onderzocht en vastgesteld dat de database, die werd gehost door een externe leverancier, geen persoonlijke informatie van onze klanten, leden of patiënten bevatte. We hebben met de leverancier samengewerkt om de database snel te verwijderen. het probleem met de leverancier om herhaling te voorkomen en we danken de onderzoeker die ons hierover heeft geïnformeerd.”
Update 15.49 BST: meer dan een miljard records verduidelijkt in plaats van miljarden. ZDNet betreurt deze fout.
Eerdere en gerelateerde berichtgeving
Volkswagen, Audi maken datalek bekend dat gevolgen heeft voor meer dan 3,3 miljoen klanten, geïnteresseerde kopers
Datalek betrekt meer dan 200.000 mensen bij nep-productrecensiezwendel van Amazon
Beveiligingsbedrijf Stormshield onthult datalek, diefstal van broncode
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 