Più di un miliardo di record sono stati esposti dopo che un errore di configurazione errata ha reso disponibile un database cloud CVS Health senza protezione tramite password.
I 240 GB di dati non protetti sono stati scoperti da WebsitePlanet e dal ricercatore di sicurezza Jeremiah Fowler in un’indagine cooperativa.
A causa della supervisione della sicurezza da parte di CVS Health, che possiede CVS Pharmacy e Aetna, sono stati esposti un totale di 1.148.327.940 record.
Le informazioni rese pubblicamente accessibili a chiunque sapesse come cercarle includevano le cronologie di ricerca dei clienti che dettagliavano i loro farmaci e i record di produzione che mostravano l’ID del visitatore, l’ID della sessione e le informazioni sul dispositivo (ad es. iPhone, Android, iPad, ecc.) .
Sono stati esposti anche dati personali, con i ricercatori che hanno notato che “una query di ricerca di campionamento ha rivelato e-mail che potrebbero essere prese di mira in un attacco di phishing per ingegneria sociale o potenzialmente utilizzate per fare riferimento ad altre azioni”.
I ricercatori hanno affermato che tutti gli attori delle minacce che hanno avuto accesso al database avrebbero potuto ottenere una chiara comprensione delle impostazioni di configurazione, scoprire dove sono archiviati i dati e accedere a un modello di come funziona il servizio di registrazione dal back-end.
Dopo aver incontrato il database non protetto il 21 marzo, i ricercatori hanno contattato CVS Health, che ha agito rapidamente per limitare l’accesso del pubblico.
“Siamo stati in grado di contattare il nostro fornitore e hanno preso provvedimenti immediati per rimuovere il database”, ha affermato CVS Health. “La protezione delle informazioni private dei nostri clienti e della nostra azienda è una priorità assoluta ed è importante notare che il database non conteneva alcuna informazione personale dei nostri clienti, membri o pazienti”.
“Configurazioni errate come queste stanno diventando fin troppo comuni. L’esposizione di dati sensibili non richiede una vulnerabilità sofisticata e la rapida crescita dell’archiviazione dei dati basata su cloud ha messo in luce punti deboli nei processi che lasciano i dati disponibili a chiunque” , ha dichiarato PJ Norris, ingegnere di sistemi senior presso Tripwire.
Ha continuato: “Un database configurato in modo errato su una rete interna potrebbe non essere notato e, se notato, potrebbe non diventare pubblico, ma la posta in gioco è più alta quando l’archiviazione dei dati è collegata direttamente a Internet. Le organizzazioni dovrebbero identificare i processi per configurare in modo sicuro tutti i sistemi , incluso lo storage basato su cloud, come Elasticsearch e Amazon S3.”
