WebsitePlanet und der Forscher Jeremiah Fowler haben eine ungesicherte Datenbank entdeckt, die der US-Apothekenkette CVS Health gehört. Sie war nicht durch ein Kennwort geschützt und auch sonst gab es keinerlei Authentifizierung, um unbefugte Zugriffe zu unterbinden. CVS Health hat die Echtheit der Daten inzwischen bestätigt.
Die rund 204 GByte große Datenbank enthält der Analyse zufolge mehr als eine Milliarde Datensätze. Enthalten sind unter anderem Event- und Konfigurationsdaten wie Besucher-IDs und Session-IDs. In der Datenbank wurden aber auch Details zu den Geräten erfasst, über die auf die Website von CVS Health zugegriffen wurde. Die Daten sollen außerdem Rückschlüsse auf die Funktionsweise des Logging-Systems erlauben.
Darüber hinaus wurden auch Suchanfragen von Nutzern zu Medikamenten oder COVID-19-Impfstoffen sowie einer Vielzahl von CVS-Produkten aufgezeichnet. “Theoretisch wäre es möglich, eine Sitzungs-ID den Suchanfragen oder dem Warenkorb hinzugefügten Produkten zuzuordnen und dann einen Kunden mithilfe von preisgegebenen E-Mails zu identifizieren”, heißt es in dem Bericht.
Die Forscher außerdem davon aus, dass von dem System erfasste E-Mails auch für Phishing-Angriffe eingesetzt werden könnten. Außerdem könnten sich Mitbewerber von CVS Health für die Inhalte der Datenbank interessieren.
CVS Health betonte, dass die Datenbank von einem Lieferanten verwaltet wurde. Der öffentliche Zugang sei unmittelbar nach der Benachrichtigung durch Website Planet eingeschränkt worden.
“Im März dieses Jahres wurden wir von einem Sicherheitsforscher über eine öffentlich zugängliche Datenbank informiert, die nicht identifizierbare Metadaten von CVS Health enthielt”, so CVS Health gegenüber ZDNet USA. “Wir haben das sofort untersucht und festgestellt, dass die Datenbank, die von einem Drittanbieter gehostet wurde, keine persönlichen Informationen unserer Kunden, Mitglieder oder Patienten enthielt. Wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell abzuschalten. Wir haben das Problem mit dem Anbieter geklärt, um eine Wiederholung zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…