In un altro esempio di servizi cloud mal configurati che incidono sulla sicurezza, sono stati esposti online oltre un miliardo di record appartenenti a CVS Health.
Giovedì, WebsitePlanet, insieme al ricercatore Jeremiah Fowler, ha rivelato la scoperta di un database online appartenente a CVS Health. Il database non era protetto da password e non disponeva di alcuna forma di autenticazione per impedire l'accesso non autorizzato.
Dopo aver esaminato il database, il team ha trovato oltre un miliardo di record collegati al colosso sanitario e farmaceutico statunitense , che possiede marchi tra cui CVS Pharmacy e Aetna.
Il database, con una dimensione di 204 GB, conteneva dati di eventi e configurazione, inclusi record di produzione di ID visitatori, ID di sessione, informazioni di accesso al dispositivo, ad esempio se i visitatori dei domini dell'azienda utilizzavano un iPhone o un telefono Android, nonché ciò che il team chiama un “progetto” di come funzionava il sistema di registrazione dal back-end.
I record di ricerca esposti includevano anche query per farmaci, vaccini COVID-19 e una varietà di prodotti CVS, che facevano riferimento sia a CVS Health che a CVS.com.
“Ipoteticamente, sarebbe stato possibile abbinare l'ID sessione con ciò che hanno cercato o aggiunto al carrello durante quella sessione e quindi provare a identificare il cliente utilizzando le e-mail esposte”, afferma il rapporto.
I ricercatori affermano che il database non protetto potrebbe essere utilizzato nel phishing mirato incrociando alcune delle e-mail registrate anche nel sistema, probabilmente tramite l'invio accidentale della barra di ricerca, o per incrociare altre azioni. Anche i concorrenti potrebbero essere stati interessati ai dati delle query di ricerca generati e archiviati nel sistema.
WebsitePlanet ha inviato un avviso di divulgazione privata a CVS Health e ha ricevuto rapidamente una risposta che confermava che il set di dati apparteneva alla società.
CVS Health ha affermato che il database è stato gestito da un fornitore anonimo per conto dell'azienda e che l'accesso pubblico è stato limitato in seguito alla divulgazione.
“Nel marzo di quest'anno, un ricercatore di sicurezza ci ha notificato un database accessibile al pubblico che conteneva metadati CVS Health non identificabili”, ha detto CVS Health a ZDNet. “Abbiamo immediatamente indagato e stabilito che il database, che era ospitato da un fornitore di terze parti, non conteneva informazioni personali dei nostri clienti, membri o pazienti. Abbiamo collaborato con il fornitore per rimuovere rapidamente il database. Abbiamo affrontato il problema con il venditore per evitare che si ripeta e ringraziamo il ricercatore che ci ha informato della questione.”
Aggiornamento 15.49 BST: chiariti oltre un miliardo di record anziché miliardi. ZDNet si rammarica di questo errore.
Copertura precedente e correlata
Volkswagen e Audi rivelano una violazione dei dati che ha avuto un impatto su oltre 3,3 milioni di clienti e acquirenti interessati
La perdita di dati coinvolge oltre 200.000 persone nella truffa di recensioni di prodotti falsi di Amazon
Società di sicurezza Stormshield rivela violazione dei dati, furto di codice sorgente
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 