CVS Health Records für 1,1 Milliarden Kunden offengelegt

Cyber Security News

Ein Anbieter hat die Datensätze offengelegt, die ohne Passwort oder andere Authentifizierung zugänglich waren, wahrscheinlich aufgrund einer Fehlkonfiguration des Cloud-Speichers.

Mehr als 1 Milliarde Datensätze für CVS Health-Kunden wurden in der Datenbank eines Drittanbieters, ungenannte Anbieter verlassen – ausgesetzt, ungeschützt, online. Forscher sagten, die Datenpunkte enthüllt könnte aneinandergereiht werden, um eine extrem persönliche Momentaufnahme der jemandes medizinische Situation zu schaffen.

Die Störung ist wahrscheinlich auf menschliches Versagen zurückzuführen, sagte Sicherheitsforscher Jeremiah Fowler in einem Beitrag auf WebsitePlanet am Donnerstag: Mit anderen Worten, es ist wahrscheinlich ein weiteres Beispiel für eine grassierende Fehlkonfiguration, die Cloud-basierte Speicher plagt, was zu einer Exposition von sensiblen Daten in einem internen Netzwerk führt.

Laut Fowlers Beitrag fanden Forscher von WebsitePlanet – einem Portal für Web-Entwickler und Internet-Vermarkter – am 21. März die nicht durch ein Passwort geschützte Datenbank, die keine Form der Authentifizierung hatte, um unbefugten Zugriff zu verhindern. Sie stimmten sich mit Fowler ab, um ihre Entdeckung zu dokumentieren, und noch am selben Tag, nachdem sie CVS Health kontaktiert hatten, wurde die nackte Datenbank für die Öffentlichkeit gesperrt.

CVS Health ist die Muttergesellschaft hinter mehreren bekannten Marken, darunter die Einzelhandelsapothekenkette CVS Pharmacy, CVS Caremark, ein Pharmacy Benefits Manager, und Aetna, ein Krankenversicherungsanbieter.

Ein Sprecher von CVS bestätigte die Ergebnisse der Forscher und sagte, dass CVS Health über die Aufdeckung einer öffentlich zugänglichen Datenbank informiert wurde, die nicht identifizierbare Metadaten von CVS Health enthielt. Bei der Untersuchung wurde festgestellt, dass die Datenbank von einem Drittanbieter gehostet wurde, dessen Namen das Unternehmen nicht bekannt gab. Die Datenbank enthielt keine persönlich identifizierbaren Informationen (PII) von Kunden, Mitgliedern oder Patienten, sagte das Unternehmen in einer Erklärung, und die Datenbank wurde schnell heruntergenommen.

Wie aus dem Bericht des Forschers hervorgeht, bestand kein Risiko für Kunden, Mitglieder oder Patienten, und wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell vom Netz zu nehmen. Wir haben das Problem mit dem Anbieter besprochen, um eine Wiederholung zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat. -Stellungnahme von CVS Health.

Was war in diesem CVS Cache von Daten?

Fowler sagte in seinem Beitrag, dass es in der Tat genug Informationen gab, um die PII der Kunden abzuleiten, einschließlich ihrer E-Mail-Adressen. Die Gesamtgröße der Datenbank betrug 204 GB, so die Forscher. Sie enthielt 1,1 Milliarden Datensätze, genauer gesagt, 1.148.327.940 Dateien. Sie waren mit “production” gekennzeichnet und enthielten Informationen, die in Suchleisten eingegeben wurden, wie die Datentypen add to cart, configuration, dashboard, index-pattern, more refinements, order, remove from cart, search, server.

Die Datensätze enthüllten auch Felder namens Visitor ID, Session ID und Geräteinformationen, wie z. B. ob Kunden ein iPhone, ein Android, ein iPad oder einen Desktop-PC verwendeten. Das Team merkte an, dass durch die Aneinanderreihung der Daten E-Mails aufgedeckt werden könnten, die in einer Phishing-Attacke oder beim Social Engineering als Ziel verwendet werden könnten oder “potenziell für Querverweise auf andere Aktionen verwendet werden könnten.”

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/06/17121853/CVS-records.png]

Redigierte CVS Health-Kundendaten. Quelle: WebsitePlanet

Außerdem vermittelten die Dateien ein “klares Verständnis der Konfigurationseinstellungen, wo Daten gespeichert werden und einen Plan, wie der Protokollierungsdienst vom Backend aus arbeitet”, heißt es in dem Advisory.

Auf der Suche nach PII führten die Forscher mehrere Suchanfragen für gängige E-Mail-Erweiterungen wie Gmail, Hotmail und Yahoo durch, so die Forscher. Sie erhielten für jede Abfrage innerhalb des Datensatzes Ergebnisse, die darauf hinwiesen, dass die Datensätze tatsächlich E-Mail-Adressen enthielten. Fowler sagte, dass er angesichts der Tatsache, dass viele persönliche E-Mail-Adressen mit Teilen oder dem gesamten Namen des Benutzers formatiert sind, in der Lage war, “eine kleine Stichprobe von Personen zu identifizieren, indem er einfach bei Google nach der öffentlich zugänglichen E-Mail-Adresse suchte.”

Die Datensätze enthielten auch die Datentypen Visitor ID und Session ID, die angeben, nach welchen Artikeln die Besucher gesucht haben, einschließlich Medikamenten, COVID-19-Impfstoffen und anderen CVS-Produkten. All diese Daten, aneinandergereiht, könnte eine Momentaufnahme von privaten Details über die Gesundheit von Personen erstellt haben, sagte Fowler.

“Hypothetisch könnte es möglich gewesen sein, die Sitzungs-ID mit dem abzugleichen, was sie während dieser Sitzung gesucht oder in den Einkaufswagen gelegt haben, und dann zu versuchen, den Kunden anhand der offengelegten E-Mails zu identifizieren”, sagte er in dem Advisory.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/06/17122843/CVS-search-300x166.png]

Quelle: WebsitePlanet.

Der CVS-Vertreter, der mit den Forschern zu tun hatte, sagte, dass die E-Mails, die in der Datenbank gefunden wurden, nicht von CVS-Kundenkonten stammten. Vielmehr wurden sie von den Besuchern selbst in die Suchleiste eingegeben – vermutlich aus Versehen.

“Die Suchleiste erfasst und protokolliert alles, was in die Suchfunktion der Website eingegeben wird, und diese Datensätze wurden als Logdateien gespeichert”, erklärte das Advisory. “Bei der Überprüfung der mobilen Version der CVS-Website ist es eine mögliche Theorie, dass Besucher geglaubt haben könnten, sie würden sich in ihr Konto einloggen, aber in Wirklichkeit ihre E-Mail-Adresse in die Suchleiste eingegeben haben.”

Die Suchanfragen waren als Parameter des Ereignistyps formatiert und wurden auf Suche gesetzt. Die E-Mail-Adressen seien Werte für einen Parameter namens query, so Fowler weiter, was “erklären könnte, wie so viele E-Mail-Adressen in einer Datenbank mit Produktsuchen landeten, die nicht dazu gedacht war, den Besucher zu identifizieren.”

Darüber hinaus zeigen die Aufzeichnungen, welches Gerät die Kunden verwendet haben, wobei ein Großteil der Suchanfragen von Telefonen und mobilen Geräten wie iPhones oder Androiden stammt, aber auch einige Suchanfragen von Desktop-Computern.

Database Exposure: Ein gefundenes Fressen für Cyberangreifer

Leider ist die Aktivitätsprotokollierung, die all diese Informationen offenlegt, ein “notwendiges Übel”, so die Beobachtung des Teams – eines, das zur Offenlegung sensibler Datensätze führen kann.

“Die Verfolgung aller Aktivitäten auf einer Website oder E-Commerce-Plattform hilft dabei, wertvolle Erkenntnisse über Besucher und Kunden zu gewinnen”, erklärte das Advisory. “Diese Protokollierung und Nachverfolgung kann oft Metadaten oder Fehlerprotokolle enthalten, die versehentlich sensiblere Datensätze preisgeben.”

Die offengelegten Suchprotokolle stammten von Suchen, die sowohl auf CVS Health als auch auf CVS.com durchgeführt wurden, und lieferten “wertvolle analytische Daten, um zu sehen, wonach Kunden suchen und ob sie die gewünschten Produkte finden”, so das Team. Das schließt die Möglichkeit ein, dass Daten über Konfiguration, Anwendungen, Software, Betriebssysteme und Build-Informationen offengelegt wurden: Daten, die potenzielle Schwachstellen identifizieren könnten, wenn sie ungepatcht oder veraltet waren.

Das sind Informationen, die Cyber-Kriminelle oder gegnerische Nationalstaaten ausnutzen können, so das Team. “Oft verwenden sie die gleichen Methoden wie legitime Sicherheitsforscher, um öffentlich zugängliche Daten zu identifizieren”, heißt es in dem Advisory. “Jeder Datensatz dient als ein Puzzlestück, um ein größeres Bild des Netzwerks oder der Datenspeicherungsmethoden einer Organisation zu erhalten.”

Cloud-Fehlkonfigurationen in Hülle und Fülle

Dank des explosionsartigen Wachstums der Cloud-basierten Datenspeicherung werden Fehlkonfigurationen wie diese nur allzu häufig, so PJ Norris, Senior Systems Engineer beim Cybersicherheitsunternehmen Tripwire. “Das schnelle Wachstum der Cloud-basierten Datenspeicherung hat Schwachstellen in Prozessen aufgedeckt, die Daten für jedermann zugänglich machen”, sagte er am Donnerstag per E-Mail an Threatpost.

Im September ergab eine Untersuchung von 2.064 Google-Cloud-Buckets durch Comparitech, dass 6 Prozent aller Google-Cloud-Buckets falsch konfiguriert sind und im öffentlichen Internet für jedermann einsehbar sind – darunter Reisepässe, Geburtsurkunden und persönliche Profile von Kindern in Indien sowie die E-Mail-Server-Anmeldedaten und Chat-Protokolle eines russischen Web-Entwicklers.

Im März ließ der Kunsthandwerker Hobby Lobby aufgrund einer Cloud-Bucket-Fehlkonfiguration 138 GB an sensiblen Daten im öffentlichen Internet offen – darunter eine Reihe von Kundendaten.

“Eine falsch konfigurierte Datenbank in einem internen Netzwerk wird vielleicht nicht bemerkt, und wenn sie bemerkt wird, wird sie vielleicht nicht öffentlich, aber die Einsätze sind höher, wenn Ihr Datenspeicher direkt mit dem Internet verbunden ist”, so Norris. “Unternehmen sollten Prozesse für die sichere Konfiguration aller Systeme festlegen, einschließlich Cloud-basierter Speicher wie Elasticsearch und Amazon S3. Sobald ein Prozess eingerichtet ist, müssen die Systeme auf Änderungen an ihren Konfigurationen überwacht werden. Dies sind lösbare Probleme, und es gibt heute Tools, die dabei helfen.”

Häufige Fehlkonfigurationen

Ray Canzanese, Leiter der Bedrohungsforschung bei Netskope, sagte, dass die CVS Health-Exposition bei Infrastructure-as-a-Service (IaaS)-Anbietern wie Amazon Web Services (AWS), Azure und Google Cloud weit verbreitet ist. Häufige Fehlkonfigurationen tauchen in Sicherheitsgruppen, Netzwerk-ACLs (NACLs) und Firewall-Regeln auf, sagte er am Donnerstag per E-Mail an Threatpost. Tatsächlich hat Netskope vor kurzem die öffentliche Exposition von Compute-Infrastrukturen in IaaS-Umgebungen bei den drei großen IaaS-Anbietern analysiert und festgestellt, dass über 35 Prozent der Compute-Instanzen mindestens einen Dienst dem Internet aussetzen.

Netskope empfahl, dass Unternehmen ihre eigenen Cloud-Umgebungen automatisch scannen sollten, um gefährdete Ressourcen zu entdecken und zu sperren, um solche Gefährdungen zu vermeiden. Canzanese empfahl außerdem eine Zero-Trust-Netzwerkarchitektur, um Mitarbeitern einen sicheren Zugriff auf Cloud-Ressourcen zu ermöglichen, unabhängig davon, ob diese vor Ort oder in der Cloud gehostet werden, ohne sie dem Internet auszusetzen.

Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/06/17124415/CVS-e1623948269517.jpg]

Einige Teile dieses Artikels stammen aus:
threatpost.com