I et annet eksempel på feilkonfigurerte skytjenester som påvirker sikkerheten, har over en milliard poster som tilhører CVS Health blitt eksponert online.
På torsdag avslørte WebsitePlanet sammen med forsker Jeremiah Fowler oppdagelsen av en online database tilhørende CVS Health. Databasen var ikke passordbeskyttet og hadde ingen form for autentisering på plass for å forhindre uautorisert innføring.
Etter undersøkelse av databasen fant teamet over en milliard poster som var koblet til den amerikanske helse- og farmasøytiske giganten , som eier merker, inkludert CVS Pharmacy og Aetna.
Databasen, 204 GB i størrelse, inneholdt hendelses- og konfigurasjonsdata, inkludert produksjonsregistreringer av besøkende-ID-er, sesjons-ID-er, informasjon om enhetstilgang – for eksempel om besøkende til firmaets domener brukte et iPhone- eller Android-håndsett – samt det teamet kaller en “tegning” av hvordan loggesystemet fungerte fra bakenden.
Eksponerte søkeregister inkluderte også spørsmål om medisiner, COVID-19-vaksiner og en rekke CVS-produkter, med henvisning til både CVS Health og CVS.com.
“Hypotetisk kunne det ha vært mulig å matche økt-ID-en med det de søkte etter eller la til i handlekurven under den økten, og deretter prøve å identifisere kunden ved hjelp av de eksponerte e-postene,” heter det i rapporten.
Forskerne sier at den usikrede databasen kan brukes til målrettet phishing ved å kryssreferanse til noen av e-postene som også er logget inn i systemet – sannsynligvis ved utilsiktet innlevering av søkefeltet – eller for kryssreferanse til andre handlinger. Konkurrenter kan også ha vært interessert i søkedataene som genereres og lagres i systemet.
WebsitePlanet sendte en privat kunngjøring til CVS Health og mottok raskt et svar som bekreftet datasettet tilhørte selskapet.
CVS Health sa at databasen ble administrert av en ikke navngitt leverandør på vegne av firmaet, og offentlig tilgang var begrenset etter avsløring.
“I mars i år varslet en sikkerhetsforsker oss om en offentlig tilgjengelig database som inneholdt ikke-identifiserbare CVS Health-metadata,” sa CVS Health til ZDNet. “Vi undersøkte umiddelbart og fant ut at databasen, som var vert for en tredjepartsleverandør, ikke inneholdt noen personlig informasjon om våre kunder, medlemmer eller pasienter. Vi samarbeidet med leverandøren for raskt å ta ned databasen. Vi har adressert problemet med leverandøren for å forhindre gjentakelse, og vi takker forskeren som varslet oss om denne saken. ”
Oppdatering 15.49 BST: Avklart over en milliard poster i stedet for milliarder. ZDNet angrer på denne feilen.
Tidligere og beslektet dekning
Volkswagen, Audi avslører datainnbrudd som påvirker over 3,3 millioner kunder, interesserte kjøpere
Datalekkasje innebærer over 200 000 mennesker i Amazon falske produktanmeldelsessvindel – Sikkerhetsfirma Stormshield avslører datainnbrudd, tyveri av kildekode
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 