In einem weiteren Beispiel für falsch konfigurierte Cloud-Dienste, die sich auf die Sicherheit auswirken, wurden über eine Milliarde Datensätze von CVS Health online verfügbar gemacht.
Am Donnerstag enthüllte WebsitePlanet zusammen mit dem Forscher Jeremiah Fowler die Entdeckung einer Online-Datenbank von CVS Health. Die Datenbank war nicht passwortgeschützt und verfügte über keine Authentifizierung, um den unbefugten Zugriff zu verhindern.
Bei der Überprüfung der Datenbank fand das Team über eine Milliarde Datensätze, die mit dem US-amerikanischen Gesundheits- und Pharmariesen in Verbindung standen , das Marken wie CVS Pharmacy und Aetna besitzt.
Die 204 GB große Datenbank enthielt Ereignis- und Konfigurationsdaten, einschließlich Produktionsaufzeichnungen von Besucher-IDs, Sitzungs-IDs, Gerätezugriffsinformationen – etwa ob Besucher der Unternehmensdomänen ein iPhone oder ein Android-Handy verwendeten – sowie die Anrufe des Teams eine “Blaupause”, wie das Logging-System vom Backend aus funktionierte.
Die freigelegten Suchaufzeichnungen umfassten auch Anfragen nach Medikamenten, COVID-19-Impfstoffen und einer Vielzahl von CVS-Produkten, die sich sowohl auf CVS Health als auch auf CVS.com bezogen.
“Hypothetisch wäre es möglich gewesen, die Sitzungs-ID mit dem abzugleichen, was sie während dieser Sitzung gesucht oder in den Warenkorb gelegt haben, und dann zu versuchen, den Kunden anhand der exponierten E-Mails zu identifizieren”, heißt es in dem Bericht.
Die Forscher sagen, dass die ungesicherte Datenbank für gezieltes Phishing verwendet werden könnte, indem einige der auch im System protokollierten E-Mails abgeglichen werden – wahrscheinlich durch versehentliches Senden in der Suchleiste – oder für andere Aktionen. Auch Wettbewerber könnten sich für die generierten und im System gespeicherten Suchanfragen interessiert haben.
WebsitePlanet schickte eine private Offenlegungsmitteilung an CVS Health und erhielt schnell eine Antwort, die bestätigte, dass der Datensatz dem Unternehmen gehörte.
CVS Health sagte, dass die Datenbank von einem ungenannten Anbieter im Auftrag des Unternehmens verwaltet wurde und der öffentliche Zugang nach der Offenlegung eingeschränkt wurde.
“Im März dieses Jahres benachrichtigte uns ein Sicherheitsforscher über eine öffentlich zugängliche Datenbank, die nicht identifizierbare CVS Health-Metadaten enthielt”, sagte CVS Health gegenüber ZDNet. “Wir haben sofort untersucht und festgestellt, dass die Datenbank, die von einem Drittanbieter gehostet wurde, keine personenbezogenen Daten unserer Kunden, Mitglieder oder Patienten enthält. Wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell zu entfernen. Wir haben uns an das Problem mit dem Anbieter, um ein Wiederauftreten zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat.”
Update 15.49 BST: Über eine Milliarde Datensätze statt Milliarden geklärt. ZDNet bedauert diesen Fehler.
Frühere und verwandte Berichterstattung
Volkswagen und Audi offenbaren Datenschutzverletzungen mit Auswirkungen auf über 3,3 Millionen Kunden und interessierte Käufer
Datenleck impliziert über 200.000 Menschen in Betrug mit gefälschten Produktbewertungen von Amazon
Sicherheitsfirma Stormshield enthüllt Datenschutzverletzung, Diebstahl von Quellcode
Hast du einen Tipp? Sichere Kontaktaufnahme über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 