WebsitePlanet und der Forscher Jeremiah Fowler haben eine ungesicherte Datenbank entdeckt, die der US-Apothekenkette CVS Health gehört. Sie war nicht durch ein Kennwort geschützt und auch sonst gab es keinerlei Authentifizierung, um unbefugte Zugriffe zu unterbinden. CVS Health hat die Echtheit der Daten inzwischen bestätigt.
Die rund 204 GByte große Datenbank enthält der Analyse zufolge mehr als eine Milliarde Datensätze. Enthalten sind unter anderem Event- und Konfigurationsdaten wie Besucher-IDs und Session-IDs. In der Datenbank wurden aber auch Details zu den Geräten erfasst, über die auf die Website von CVS Health zugegriffen wurde. Die Daten sollen außerdem Rückschlüsse auf die Funktionsweise des Logging-Systems erlauben.
Darüber hinaus wurden auch Suchanfragen von Nutzern zu Medikamenten oder COVID-19-Impfstoffen sowie einer Vielzahl von CVS-Produkten aufgezeichnet. “Theoretisch wäre es möglich, eine Sitzungs-ID den Suchanfragen oder dem Warenkorb hinzugefügten Produkten zuzuordnen und dann einen Kunden mithilfe von preisgegebenen E-Mails zu identifizieren”, heißt es in dem Bericht.
Die Forscher außerdem davon aus, dass von dem System erfasste E-Mails auch für Phishing-Angriffe eingesetzt werden könnten. Außerdem könnten sich Mitbewerber von CVS Health für die Inhalte der Datenbank interessieren.
CVS Health betonte, dass die Datenbank von einem Lieferanten verwaltet wurde. Der öffentliche Zugang sei unmittelbar nach der Benachrichtigung durch Website Planet eingeschränkt worden.
“Im März dieses Jahres wurden wir von einem Sicherheitsforscher über eine öffentlich zugängliche Datenbank informiert, die nicht identifizierbare Metadaten von CVS Health enthielt”, so CVS Health gegenüber ZDNet USA. “Wir haben das sofort untersucht und festgestellt, dass die Datenbank, die von einem Drittanbieter gehostet wurde, keine persönlichen Informationen unserer Kunden, Mitglieder oder Patienten enthielt. Wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell abzuschalten. Wir haben das Problem mit dem Anbieter geklärt, um eine Wiederholung zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat.
Die neuen Lösungen sollen entlang der gesamten Wertschöpfungskette einsetzbar sein und dabei auch mit externen…
Studie des Umweltbundesamtes zeigt: Durch Wachstum von KI könnten Rechenzentren in Regionen mit CO₂-intensivem Energieverbrauch…
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den 1.000. IT-Dienstleister auf Basis von DIN…
Neue Lünendonk-Listen: Nach dem durchwachsenen Vorjahr blicken Deutschlands IT-Dienstleister wieder optimistischer in die Zukunft.
WestfalenWIND-Gruppe betreibt energieintensive Rechenzentren klimaneutral in den Türmen von Windkraftanlagen.
Zwölf Projektpartner haben den "Automatisierten Transport zwischen Logistikzentren auf Schnellstraßen im Level 4" (ATLAS-L4) verwirklicht.
