Plus d’un milliard de dossiers appartenant à « CVS Health » exposés en ligne

Exemple de mauvaise configuration qui peut avoir un impact sur la sécurité.

Dans un autre exemple de services cloud mal configurés ayant un impact sur la sécurité, plus d’un milliard d’enregistrements appartenant à « CVS Health » ont été exposés en ligne.

Jeudi, WebsitePlanet , en collaboration avec le chercheur Jeremiah Fowler, a révélé la découverte d’une base de données en ligne appartenant à CVS Health. La base de données n’était pas protégée par mot de passe et n’avait aucune forme d’authentification en place pour empêcher toute entrée non autorisée.

Après examen de la base de données, l’équipe a trouvé plus d’un milliard d’enregistrements liés au géant américain de la santé et de la pharmacie, qui possède des marques telles que CVS Pharmacy et Aetna. 

La base de données, d’une taille de 204 Go, contenait des données d’événement et de configuration, y compris des enregistrements de production d’ID de visiteur, d’ID de session, des informations d’accès aux appareils – par exemple si les visiteurs des domaines de l’entreprise ont utilisé un iPhone ou un téléphone Android – ainsi que ce que l’équipe appelle. Un « plan » de la façon dont le système de journalisation fonctionnait à partir du backend. 

Les enregistrements de recherche exposés comprenaient également des requêtes pour des médicaments, des vaccins COVID-19 et une variété de produits CVS, référençant à la fois CVS Health et CVS.com.

« Hypothétiquement, il aurait pu être possible de faire correspondre l’ID de session avec ce qu’ils ont recherché ou ajouté au panier au cours de cette session, puis d’essayer d’identifier le client à l’aide des e-mails exposés », indique le rapport. 

Les chercheurs affirment que la base de données non sécurisée pourrait être utilisée dans le phishing ciblé en recoupant certains des e-mails également enregistrés dans le système – probablement par le biais d’une soumission accidentelle de la barre de recherche – ou pour recouper d’autres actions. Les concurrents, eux aussi, peuvent avoir été intéressés par les données de requête de recherche générées et stockées dans le système. 

WebsitePlanet a envoyé un avis de divulgation privée à CVS Health et a rapidement reçu une réponse confirmant que l’ensemble de données appartenait à l’entreprise. 

CVS Health a déclaré que la base de données était gérée par un fournisseur anonyme au nom de l’entreprise et que l’accès public a été restreint après la divulgation. 

« En mars de cette année, un chercheur en sécurité nous a signalé une base de données accessible au public qui contenait des métadonnées CVS Health non identifiables », a déclaré CVS Health à ZDNet . « Nous avons immédiatement enquêté et déterminé que la base de données, qui était hébergée par un fournisseur tiers, ne contenait aucune information personnelle de nos clients, membres ou patients. Nous avons travaillé avec le fournisseur pour supprimer rapidement la base de données. le problème avec le fournisseur pour éviter qu’il ne se reproduise et nous remercions le chercheur qui nous a signalé ce problème. »