В другом примере неправильно настроенных облачных сервисов, влияющих на безопасность, более миллиарда записей, принадлежащих CVS Health, были обнаружены в сети.
В четверг WebsitePlanet вместе с исследователем Джеремией Фаулером обнаружили открытие онлайн-базы данных, принадлежащей CVS Health. База данных не была защищена паролем и не имела какой-либо формы аутентификации для предотвращения несанкционированного доступа.
При изучении базы данных команда обнаружила более миллиарда записей, которые были связаны с американским гигантом здравоохранения и фармацевтики, которая владеет такими брендами, как CVS Pharmacy и Aetna.
База данных размером 204 ГБ содержала данные о событиях и конфигурации, включая производственные записи идентификаторов посетителей, идентификаторов сеансов, информацию о доступе к устройствам — например, использовали ли посетители доменов компании телефон iPhone или Android — как а также то, что команда называет «планом» того, как система ведения журнала работает с серверной части.
Выявленные записи поиска также включали запросы о лекарствах, вакцинах от COVID-19 и различных продуктах CVS со ссылками на CVS Health и CVS.com.
«Гипотетически можно было сопоставить идентификатор сеанса с тем, что они искали или добавили в корзину во время этого сеанса, а затем попытаться идентифицировать клиента, используя открытые электронные письма», — говорится в отчете.
Исследователи говорят, что незащищенная база данных может использоваться для целевого фишинга путем перекрестных ссылок на некоторые электронные письма, также зарегистрированные в системе — вероятно, через случайную отправку панели поиска — или для перекрестных ссылок на другие действия. Конкуренты тоже могли быть заинтересованы в данных поисковых запросов, сгенерированных и сохраненных в системе.
WebsitePlanet отправил частное уведомление о раскрытии информации в CVS Health и быстро получил ответ, подтверждающий, что набор данных принадлежит компании.
CVS Health сообщила, что база данных находилась под управлением неназванного поставщика от имени компании, и публичный доступ был ограничен после раскрытия информации.
«В марте этого года исследователь безопасности уведомил нас об общедоступной базе данных, содержащей неидентифицируемые метаданные CVS Health», — сообщил CVS Health ZDNet . «Мы немедленно исследовали и определили, что база данных, размещенная сторонним поставщиком, не содержала никакой личной информации о наших клиентах, участниках или пациентах. Мы работали с поставщиком, чтобы быстро отключить базу данных. Мы обратились к проблема с поставщиком, чтобы предотвратить повторение, и мы благодарим исследователя, который уведомил нас об этом вопросе ».
Обновление 15.49 BST: уточнено более миллиарда записей, а не миллиардов. ZDNet сожалеет об этой ошибке.
Предыдущее и связанное с ним покрытие
Есть подсказка? Свяжитесь с нами безопасно через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0
