Над милиард записи, принадлежащи на CVS Health, са изложени онлайн

В друг пример за неправилно конфигурирани облачни услуги, засягащи сигурността, над милиард записи, принадлежащи на CVS Health, са били изложени онлайн.

В четвъртък WebsitePlanet, заедно с изследователя Джеремия Фаулър, разкриха откриването на онлайн база данни принадлежащи към CVS Health. Базата данни не беше защитена с парола и нямаше никаква форма на удостоверяване, за да се предотврати неразрешено влизане.

При разглеждане на базата данни екипът откри над един милиард записи, свързани с американския гигант в областта на здравеопазването и фармацевтиката, който притежава марки, включително CVS Pharmacy и Aetna.

Базата данни, с размер 204 GB, съдържаше данни за събития и конфигурация, включително производствени записи на идентификатори на посетители, идентификатори на сесии, информация за достъп до устройства – като например дали посетителите на домейните на фирмата са използвали iPhone или Android телефон – както и това, което екипът призовава „план“ за това как системата за регистриране е работила от бекенда.

Изложените записи за търсене също включват заявки за лекарства, ваксини срещу COVID-19 и разнообразие от CVS продукти, отнасящи се както за CVS Health, така и за CVS.com.

„Хипотетично би могло да бъде възможно да се съпостави идентификационния номер на сесията с това, което са търсили или добавили в пазарската количка по време на тази сесия и след това да се опитаме да идентифицираме клиента, като използваме откритите имейли“, се посочва в доклада.

Изследователите казват, че необезопасената база данни може да се използва за целенасочен фишинг чрез препратка към някои имейли, също регистрирани в системата – вероятно чрез случайно подаване на лентата за търсене – или за препратка към други действия. Състезателите също може да са се интересували от генерираните и съхранени в системата данни за заявка за търсене.

WebsitePlanet изпрати частно известие за разкриване на CVS Health и бързо получи отговор, потвърждаващ, че наборът от данни принадлежи на компанията.

CVS Health заяви, че базата данни се управлява от неназован доставчик от името на фирмата и публичният достъп е ограничен след разкриването.

„През март тази година изследовател по сигурността ни уведоми за публично достъпна база данни, която съдържа неидентифицирани метаданни на CVS Health“, заяви CVS Health пред ZDNet. „Веднага разследвахме и установихме, че базата данни, която се хоства от доставчик на трета страна, не съдържа никаква лична информация на нашите клиенти, членове или пациенти. Работихме с доставчика за бързо сваляне на базата данни. Обърнахме се проблема с доставчика за предотвратяване на повторение и благодарим на изследователя, който ни уведоми за този въпрос. “

Актуализация 15.49 BST: Изяснени над милиард записи, а не милиарди. ZDNet съжалява за тази грешка.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com