Flash news

Un miliardo di record CVS esposti

Più di un miliardo di record sono stati esposti dopo che un errore di configurazione errata ha reso disponibile un database cloud CVS Health senza protezione tramite password.

I 240 GB di dati non protetti sono stati  scoperti  da WebsitePlanet e dal ricercatore di sicurezza Jeremiah Fowler in un’indagine cooperativa. 

A causa della supervisione della sicurezza da parte di CVS Health, che possiede CVS Pharmacy e Aetna, sono stati esposti un totale di 1.148.327.940 record.

Le informazioni rese pubblicamente accessibili a chiunque sapesse come cercarle includevano le cronologie di ricerca dei clienti che dettagliavano i loro farmaci e i record di produzione che mostravano l’ID del visitatore, l’ID della sessione e le informazioni sul dispositivo (ad es. iPhone, Android, iPad, ecc.) . 

Sono stati esposti anche dati personali, con i ricercatori che hanno notato che “una query di ricerca di campionamento ha rivelato e-mail che potrebbero essere prese di mira in un attacco di phishing per ingegneria sociale o potenzialmente utilizzate per fare riferimento ad altre azioni”.

I ricercatori hanno affermato che tutti gli attori delle minacce che hanno avuto accesso al database avrebbero potuto ottenere una chiara comprensione delle impostazioni di configurazione, scoprire dove sono archiviati i dati e accedere a un modello di come funziona il servizio di registrazione dal back-end.

Dopo aver incontrato il database non protetto il 21 marzo, i ricercatori hanno contattato CVS Health, che ha agito rapidamente per limitare l’accesso del pubblico.

“Siamo stati in grado di contattare il nostro fornitore e hanno preso provvedimenti immediati per rimuovere il database”, ha affermato CVS Health. “La protezione delle informazioni private dei nostri clienti e della nostra azienda è una priorità assoluta ed è importante notare che il database non conteneva alcuna informazione personale dei nostri clienti, membri o pazienti”.

“Configurazioni errate come queste stanno diventando fin troppo comuni. L’esposizione di dati sensibili non richiede una vulnerabilità sofisticata e la rapida crescita dell’archiviazione dei dati basata su cloud ha messo in luce punti deboli nei processi che lasciano i dati disponibili a chiunque” , ha dichiarato PJ Norris, ingegnere di sistemi senior presso Tripwire.

Ha continuato: “Un database configurato in modo errato su una rete interna potrebbe non essere notato e, se notato, potrebbe non diventare pubblico, ma la posta in gioco è più alta quando l’archiviazione dei dati è collegata direttamente a Internet. Le organizzazioni dovrebbero identificare i processi per configurare in modo sicuro tutti i sistemi , incluso lo storage basato su cloud, come Elasticsearch e Amazon S3.”