WebsitePlanet und der Forscher Jeremiah Fowler haben eine ungesicherte Datenbank entdeckt, die der US-Apothekenkette CVS Health gehört. Sie war nicht durch ein Kennwort geschützt und auch sonst gab es keinerlei Authentifizierung, um unbefugte Zugriffe zu unterbinden. CVS Health hat die Echtheit der Daten inzwischen bestätigt.
Die rund 204 GByte große Datenbank enthält der Analyse zufolge mehr als eine Milliarde Datensätze. Enthalten sind unter anderem Event- und Konfigurationsdaten wie Besucher-IDs und Session-IDs. In der Datenbank wurden aber auch Details zu den Geräten erfasst, über die auf die Website von CVS Health zugegriffen wurde. Die Daten sollen außerdem Rückschlüsse auf die Funktionsweise des Logging-Systems erlauben.
Darüber hinaus wurden auch Suchanfragen von Nutzern zu Medikamenten oder COVID-19-Impfstoffen sowie einer Vielzahl von CVS-Produkten aufgezeichnet. “Theoretisch wäre es möglich, eine Sitzungs-ID den Suchanfragen oder dem Warenkorb hinzugefügten Produkten zuzuordnen und dann einen Kunden mithilfe von preisgegebenen E-Mails zu identifizieren”, heißt es in dem Bericht.
Die Forscher außerdem davon aus, dass von dem System erfasste E-Mails auch für Phishing-Angriffe eingesetzt werden könnten. Außerdem könnten sich Mitbewerber von CVS Health für die Inhalte der Datenbank interessieren.
CVS Health betonte, dass die Datenbank von einem Lieferanten verwaltet wurde. Der öffentliche Zugang sei unmittelbar nach der Benachrichtigung durch Website Planet eingeschränkt worden.
“Im März dieses Jahres wurden wir von einem Sicherheitsforscher über eine öffentlich zugängliche Datenbank informiert, die nicht identifizierbare Metadaten von CVS Health enthielt”, so CVS Health gegenüber ZDNet USA. “Wir haben das sofort untersucht und festgestellt, dass die Datenbank, die von einem Drittanbieter gehostet wurde, keine persönlichen Informationen unserer Kunden, Mitglieder oder Patienten enthielt. Wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell abzuschalten. Wir haben das Problem mit dem Anbieter geklärt, um eine Wiederholung zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.