Eine Milliarde CVS-Datensätze aufgedeckt

Cyber Security News

Mehr als eine Milliarde Datensätze wurden offengelegt, nachdem ein Fehlkonfigurationsfehler eine CVS Health Cloud-Datenbank ohne Passwortschutz ließ.

Die 240 GB an ungesicherten Daten wurden von WebsitePlanet und dem Sicherheitsforscher Jeremiah Fowler in einer gemeinsamen Untersuchung entdeckt.

Aufgrund des Sicherheitsversäumnisses von CVS Health, dem Eigentümer von CVS Pharmacy und Aetna, wurden insgesamt 1.148.327.940 Datensätze offengelegt.

Zu den Informationen, die für jeden, der wusste, wie man danach sucht, öffentlich zugänglich waren, gehörten die Suchhistorie der Kunden mit Details zu ihren Medikamenten sowie Produktionsdatensätze, die Besucher-ID, Sitzungs-ID und Geräteinformationen (d. h. iPhone, Android, iPad usw.) enthüllten.

Persönliche Daten wurden ebenfalls offengelegt, wobei die Forscher feststellten, dass “eine Stichproben-Suchanfrage E-Mails enthüllte, die in einer Phishing-Attacke für Social Engineering oder potenziell für Querverweise auf andere Aktionen verwendet werden könnten.”

Die Forscher sagten, dass alle Bedrohungsakteure, die auf die Datenbank zugriffen, ein klares Verständnis der Konfigurationseinstellungen hätten erlangen können, herausgefunden hätten, wo Daten gespeichert sind, und auf einen Plan zugegriffen hätten, wie der Protokollierungsdienst vom Backend aus funktioniert.

Nachdem sie am 21. März auf die ungeschützte Datenbank gestoßen waren, kontaktierten die Forscher CVS Health, das schnell handelte, um den öffentlichen Zugang zu beschränken.

“Wir konnten unseren Anbieter erreichen und er hat sofort gehandelt, um die Datenbank zu entfernen”, sagte CVS Health. “Der Schutz der privaten Informationen unserer Kunden und unseres Unternehmens hat hohe Priorität, und es ist wichtig zu beachten, dass die Datenbank keine persönlichen Informationen unserer Kunden, Mitglieder oder Patienten enthielt.”

“Fehlkonfigurationen wie diese kommen nur allzu häufig vor. Um sensible Daten preiszugeben, bedarf es keiner ausgeklügelten Schwachstelle, und das schnelle Wachstum der Cloud-basierten Datenspeicherung hat Schwachstellen in Prozessen aufgedeckt, die Daten für jedermann zugänglich machen”, so PJ Norris, Senior Systems Engineer bei Tripwire, gegenüber dem Infosecurity Magazine.

Er fuhr fort: “Eine falsch konfigurierte Datenbank in einem internen Netzwerk wird vielleicht nicht bemerkt, und wenn sie bemerkt wird, wird sie vielleicht nicht publik, aber die Einsätze sind höher, wenn Ihr Datenspeicher direkt mit dem Internet verbunden ist. Unternehmen sollten Prozesse für die sichere Konfiguration aller Systeme festlegen, einschließlich Cloud-basierter Speicher wie Elasticsearch und Amazon S3.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com