Více než 1 miliarda záznamů zákazníků CVS Health byla ponechána v databázi třetí strany, nejmenovaného dodavatele – vystavena, nechráněna, online. Vědci uvedli, že odhalené datové body lze spojit dohromady a vytvořit tak extrémně osobní snímek lékařské situace.
Problém je pravděpodobně způsoben lidskou chybou, uvedl výzkumný pracovník Jeremiah Fowler v příspěvku na webu WebPlanet. Jinými slovy, je to pravděpodobně další výskyt nesprávné konfigurace, který trápí cloudová úložiště, což vede k vystavení citlivých dat.
Podle příspěvku Fowlera našli výzkumníci databázi chráněnou heslem, která neměla zavedenou formu ověřování, která by zabránila neoprávněnému vstupu.
CVS Health je mateřskou společností, která stojí za několika značkami pro domácnost, včetně řetězce maloobchodních lékáren CVS Pharmacy; CVS Caremark a Aetna.
Mluvčí CVS potvrdil zjištění výzkumníků s tím, že CVS Health bylo informováno o vystavení veřejně přístupné databáze, která obsahovala neidentifikovatelná metadata CVS Health. Po vyšetřování zjistili, že databázi hostuje třetí strana, jejíž jméno společnost nezveřejnila. Databáze neobsahovala žádné osobní identifikační údaje (PII) zákazníků, členů nebo pacientů, uvedla společnost ve svém prohlášení a databáze byla rychle odstraněna.
Co bylo v mezipaměti dat CVS?
Fowler ve svém příspěvku uvedl, že ve skutečnosti existuje dostatek informací k odvození PII zákazníků, včetně jejich e-mailových adres. Celková velikost databáze byla podle výzkumníků 204 GB. Obsahovala 1,1 miliardy záznamů, nebo přesněji 1 148 327 940 souborů. Byly označeny jako „výroba“ a zahrnovaly informace zadané do vyhledávacích pruhů, jako jsou datové typy přidání do košíku, konfigurace, řídicí panel, indexový vzor, další upřesnění, objednávka, odebrání z košíku, vyhledávání, server.
Záznamy také vystavovaly pole zvaná ID návštěvníka, ID relace a informace o zařízení, například zda zákazníci používali iPhone, Android, iPad nebo stolní počítač. Tým poznamenal, že spojením dat mohou odhalit e-maily, které by mohly být zaměřeny na phishingový útok, v sociálním inženýrství nebo „potenciálně použity ke křížovým odkazům na jiné akce“.
Soubory také poskytly „jasné pochopení konfiguračních nastavení, kde jsou uložena data a podrobný plán fungování služby protokolování z back-endu.“
Při hledání PII provedli vědci několik vyhledávacích dotazů na běžná e-mailová rozšíření, jako jsou Gmail, Hotmail a Yahoo. Byli odměněni výsledky pro každý dotaz v datové sadě, což naznačuje, že záznamy ve skutečnosti obsahovaly e-mailové adresy. Fowler uvedl, že vzhledem k tomu, kolik osobních e-mailových adres je formátováno pomocí částí nebo celého jména uživatele, dokázal identifikovat „malý vzorek osob pouhým hledáním veřejně vystavené e-mailové adresy na Googlu“.
Záznamy také obsahovaly datové typy Visitor ID a Session ID, označující položky, které návštěvníci hledali, včetně léků, vakcín COVID-19 a dalších produktů CVS. Všechna tato data, spojená dohromady, mohla vytvořit snímek soukromých podrobností o zdraví jednotlivců, řekl Fowler.
“Hypoteticky by mohlo být možné porovnat ID relace s tím, co během této relace hledali nebo přidali do nákupního košíku, a poté se pokusit identifikovat zákazníka pomocí vystavených e-mailů,” uvedl v informačním zpravodaji.
Přečtěte si více zde: threatpost.com
Obrázek: WebsitePlanet
@RadekVyskovsky
Zdroj: IT SECURITY NETWORK NEWS
