I ett annat exempel på felkonfigurerade molntjänster som påverkar säkerheten har över en miljard poster som tillhör CVS Health exponerats online.
På torsdag avslöjade WebsitePlanet tillsammans med forskaren Jeremiah Fowler upptäckten av en online-databas som tillhör CVS Health. Databasen var inte lösenordsskyddad och hade ingen form av autentisering på plats för att förhindra obehörig inträde.
Vid granskning av databasen hittade teamet över en miljard poster som var kopplade till den amerikanska sjukvårds- och läkemedelsjätten , som äger varumärken inklusive CVS Pharmacy och Aetna.
Databasen, 204 GB i storlek, innehöll händelse- och konfigurationsdata inklusive produktionsregister för besökar-ID, session-ID, enhetsåtkomstinformation – till exempel om besökare på företagets domäner använde en iPhone- eller Android-handenhet – samt vad teamet kallar en “ritning” av hur loggningssystemet fungerade från backend.
Exponerade sökposter inkluderade också frågor om mediciner, COVID-19-vacciner och en mängd olika CVS-produkter, med hänvisning till både CVS Health och CVS.com.
“Hypotetiskt kunde det ha varit möjligt att matcha sessions-ID: t med det de sökte efter eller lagt till i kundvagnen under den sessionen och sedan försöka identifiera kunden med hjälp av de exponerade e-postmeddelandena”, står det i rapporten.
Forskarna säger att den osäkra databasen kan användas för målinriktad nätfiske genom att korsreferera till vissa e-postmeddelanden som också är inloggade i systemet – troligen genom oavsiktlig inlämning av sökfältet – eller för korsreferenser till andra åtgärder. Konkurrenter kan också ha varit intresserade av sökfrågedata som genereras och lagras i systemet.
WebsitePlanet skickade ett privat meddelande till CVS Health och fick snabbt ett svar som bekräftade datauppsättningen tillhörde företaget.
CVS Health sa att databasen hanterades av en namnlös leverantör på uppdrag av företaget och allmänhetens tillgång var begränsad efter avslöjandet.
“I mars i år anmälde en säkerhetsforskare oss en offentligt tillgänglig databas som innehöll icke-identifierbara CVS Health-metadata,” sa CVS Health till ZDNet. “Vi undersökte omedelbart och bestämde att databasen, som var värd för en tredjepartsleverantör, inte innehöll någon personlig information om våra kunder, medlemmar eller patienter. Vi samarbetade med säljaren för att snabbt ta ner databasen. problemet med säljaren för att förhindra en upprepning och vi tackar forskaren som meddelade oss om denna fråga. ”
Uppdatering 15.49 BST: Förtydligades över en miljard poster snarare än miljarder. ZDNet beklagar detta fel.
Tidigare och relaterad täckning
Volkswagen, Audi avslöjar dataintrång som påverkar över 3,3 miljoner kunder, intresserade köpare
Dataläckage involverar över 200 000 personer i Amazon-falsk produktbedömning – Säkerhetsföretag Stormshield avslöjar dataintrång, stöld av källkod
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Data Management CXO Data Centers 