CVS健康记录为1.1B客户暴露

超过10亿条的CVS健康客户留在第三方未命名的供应商的数据库中 - 暴露，无保护，在线。研究人员表示，揭示的数据点可以串联，以创造一个极其个人的医疗状况的快照。

毛刺很可能是由于人为错误，安全研究员Jeremiah Fowler周四在网站上的一篇文章中说：换句话说，这可能是猖獗的误解的发病率，这是基于云的储存，导致内部敏感数据的曝光网络。

根据Fowler的帖子，Wetter WatePlanet的研究人员 - Web开发人员和互联网营销人员的门户网站 - 发现了非密码保护的数据库，该数据库没有身份验证，以防止3月21日的未经授权的条目。他们在记录中与Fowler协调他们的发现和同一天，在他们联系CVS健康之后，裸体数据库从公众视图关闭。

CVS健康是多家家庭品牌背后的母公司，包括CVS药房零售药房链; CVS Caremark，药房福利经理;和健康保险提供者Aetna。

CVS发言人证实了研究人员的调查结果，称CVS健康已收到公开可访问的数据库的曝光，该数据库包含不可识别的CVS健康元数据。调查后，他们确定数据库由第三方供应商托管，该公司未披露其名称。该数据库没有包含客户，会员或患者的任何个人身份信息（PII），该公司在一份声明中表示，数据库很快就会被淘汰。

随着研究人员的报告表明，客户，会员或患者没有风险，我们与供应商合作，迅速将数据库击败。我们已经解决了供应商的问题，以防止再次发生，并感谢将我们通知我们此事的研究员。 -cvs健康声明。

Fowler在他的帖子中表示，实际上有足够的信息来派生客户的PII，包括他们的电子邮件地址。根据研究人员称，数据库的总大小为204 GB。它占11亿枚记录，或精确，1,148,327,940张档案。它们被标记为“生产”并将信息键入搜索栏中，例如数据类型添加到购物车，配置，仪表板，索引模式，更多的更新，订单，从购物车，搜索，服务器中删除。

记录还暴露了名为访客ID，会话ID和设备信息的字段，例如客户是否使用iPhone，Android，iPad或台式电脑。团队指出，通过串联数据，他们可以透露可以在网络钓鱼攻击，社会工程或可能用于交叉参考其他行动的网络钓鱼攻击中的电子邮件。

同样，文件给出了“清楚地了解配置设置，其中存储数据以及日志记录服务如何从后端操作的蓝图，”根据咨询。

在寻找PII时，研究人员对常见的电子邮件扩展进行了几个搜索查询，例如Gmail，Hotmail和Yahoo，他们说。它们在数据集中的每个查询的结果中获得了奖励，表明记录实际上包含了电子邮件地址。福勒说，给定使用部分或所有用户名都格式化了多少个个人电子邮件地址，他能够通过简单地搜索公开公开的电子邮件地址来识别“小型对个人采样。”

记录还包含数据类型访客ID和会话ID，指示访问者搜索的项目，包括药物，Covid-19疫苗和其他CVS产品。 Fowler说，所有这些数据都汇编在一起，可以创建有关个人健康的私人细节的快照。

“假设，可以将会话ID与他们在该会话期间搜索或添加到购物车中的会话ID匹配，然后尝试使用公开的电子邮件识别客户，”他在咨询中说。

处理研究人员的CVS代表说，无论在数据库中发现什么电子邮件都没有来自CVS客户账户。相反，他们被访客自己输入了搜索栏 - 大概是错误的。

“搜索栏捕获并记录输入到网站搜索功能中的所有内容，这些记录被存储为日志文件，”咨询说明。 “在审查CVS站点的移动版本时，它是访问者可能相信他们正在登录其帐户的可能理论，但却真的进入搜索栏中的电子邮件地址。”

搜索被格式化为事件类型参数，并设置为搜​​索。电子邮件地址是名为查询的参数的值，Fowler继续，“可以解释如何在不打算识别访问者的产品数据库中最终获得许多电子邮件地址。”

此外，记录表明，使用的是来自手机和移动设备（如iPhone或Androids）的大多数搜索以及来自桌面计算机的搜索。

不幸的是，暴露所有这些信息的活动记录是“必要的邪恶”，团队观察到 - 一个可以导致敏感记录的暴露。

“跟踪网站或电子商务平台的所有活动有助于为访客和客户提供有价值的见解，”咨询说明。 “此日志记录和跟踪通常可以包含无意中曝光更敏感记录的元数据或错误日志。”

公开的搜索日志来自CVS健康和CVS.com上的搜索，并提供了“有价值的分析数据，以查看客户正在寻找的东西，如果他们正在寻找他们想要的产品，”团队表示。其中包括有关配置，应用程序，软件，操作系统和构建信息的数据的可能性：如果如果它们未被划分或过时，则可以识别潜在漏洞的数据。

该团队表示，这是网络犯罪分子或对抗性国家可以利用的信息。 “通常，他们使用与合法安全研究人员相同的方法来识别公开暴露的数据，”根据咨询。 “每个信息记录用作难题件，以提供组织的网络或数据存储方法的更大图像。”

由于基于云的数据存储的爆炸性增长，PJ Norris（网络安全公司Tridwire）的高级系统工程师PJ Norris表示，这种情况变得太常见了。 “曝光敏感数据不需要复杂的漏洞，并且基于云的数据存储的快速增长在周四通过电子邮件发送到任何人的流程中的流程中的缺点是暴露的。

9月份，SpaliTech的2,064次谷歌云桶的调查发现，所有谷歌云桶中的6％都是错误的，为任何人和每个人都留下公开互联网 - 包括来自印度儿童的护照，出生证明和个人档案，和俄罗斯Web开发人员的电子邮件服务器凭据和聊天日志。

3月份，艺术和工艺品零售商爱好者留下了138GB的敏感信息，对公共互联网开放 - 包括一系列客户信息 - 由于云桶错误配置。

“可能不会注意到内部网络上的错误配置数据库，如果注意，可能不会公开，但是当您的数据存储直接连接到Internet时，赌注更高，”Norris指出。 “组织应确定安全地配置所有系统的流程，包括基于云的存储，如Elasticsearch和Amazon S3。一旦进程到位，必须监视系统以进行配置更改。这些是可解决的问题，而且今天存在的工具提供帮助。“

Netskope威胁研究总监Ray Canzanese表示，CVS健康曝光是亚马逊Web服务（AWS），Azure和Google Cloud等基础设施 - AS-Service（IAAS）提供商中常见的。在安全组织，网络ACL（NACLS）和防火墙规则中，常见的错误配置在安全组织，网络ACL（NACLS）和防火墙规则中裁剪。事实上，Netskope最近分析了三个主要IAAS提供商的IAAS环境中的Compute基础设施的公开曝光，发现超过35％的计算实例将至少一个服务涉及到互联网。

NetSkope建议，为避免此类曝光，组织应自动扫描自己的云环境，以发现并锁定公开的资源。 Canzanese还推荐Zero-Trust网络架构作为一种方法，使员工能够安全地访问云资源，无论它们是在图形或云中托管，而不将它们暴露于Internet。

加入威胁普通“提示和策略以获得更好的威胁狩猎” - 周三的现场活动，6月30日在上午2:00与Palo Alto Networks合作。从Palo Alto的单位学习42专家最好捕杀威胁以及如何使用自动化来帮助的最佳方式。免费注册免费。