Categories: Authentifizierung

US-Apothekenkette meldet massiven Datenverlust

WebsitePlanet und der Forscher Jeremiah Fowler haben eine ungesicherte Datenbank entdeckt, die der US-Apothekenkette CVS Health gehört. Sie war nicht durch ein Kennwort geschützt und auch sonst gab es keinerlei Authentifizierung, um unbefugte Zugriffe zu unterbinden. CVS Health hat die Echtheit der Daten inzwischen bestätigt.

Die rund 204 GByte große Datenbank enthält der Analyse zufolge mehr als eine Milliarde Datensätze. Enthalten sind unter anderem Event- und Konfigurationsdaten wie Besucher-IDs und Session-IDs. In der Datenbank wurden aber auch Details zu den Geräten erfasst, über die auf die Website von CVS Health zugegriffen wurde. Die Daten sollen außerdem Rückschlüsse auf die Funktionsweise des Logging-Systems erlauben.

Darüber hinaus wurden auch Suchanfragen von Nutzern zu Medikamenten oder COVID-19-Impfstoffen sowie einer Vielzahl von CVS-Produkten aufgezeichnet. “Theoretisch wäre es möglich, eine Sitzungs-ID den Suchanfragen oder dem Warenkorb hinzugefügten Produkten zuzuordnen und dann einen Kunden mithilfe von preisgegebenen E-Mails zu identifizieren”, heißt es in dem Bericht.

Die Forscher außerdem davon aus, dass von dem System erfasste E-Mails auch für Phishing-Angriffe eingesetzt werden könnten. Außerdem könnten sich Mitbewerber von CVS Health für die Inhalte der Datenbank interessieren.

CVS Health betonte, dass die Datenbank von einem Lieferanten verwaltet wurde. Der öffentliche Zugang sei unmittelbar nach der Benachrichtigung durch Website Planet eingeschränkt worden.

“Im März dieses Jahres wurden wir von einem Sicherheitsforscher über eine öffentlich zugängliche Datenbank informiert, die nicht identifizierbare Metadaten von CVS Health enthielt”, so CVS Health gegenüber ZDNet USA. “Wir haben das sofort untersucht und festgestellt, dass die Datenbank, die von einem Drittanbieter gehostet wurde, keine persönlichen Informationen unserer Kunden, Mitglieder oder Patienten enthielt. Wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell abzuschalten. Wir haben das Problem mit dem Anbieter geklärt, um eine Wiederholung zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat.

Lesen Sie auch : Sicher in die KI-Ära
Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago