美国健康看护集团CVS Health一个包含消费者及运营资料的数据库,被安全研究人员发现暴露于网络上,数量超过10亿笔。
研究公司WebsitePlanet与研究人员Jeremiah Fowler在今年3月21日,发现到一个包含10亿笔资料的数据库未设密码。经过调查,证实属于CVS Health。
CVS Health为美国健康看护业务集团,下有全美最大药妆渠道连锁CVS药店、Target药店、健康保险公司安泰(Aetna)、及健康管理服务Caremark、Omnicare等品牌。
这个曝光的数据库内有204GB,总数达11.5亿笔。以资料形态来看,包含事件及集结资料索引。线上商店资料涵盖消费者加入或从购物车移除品项、搜索关键字、高端搜索、订单资料及存储的服务器、组态、仪表板、index-pattern等。名为“production”的资料集中包含了消费者资料,例如访客ID、连接ID、设备形态(如iPhone、iPad或Android设备)。
研究人员指出,外泄的文件可让看到资料的人清楚了解组态设置、资料存储地点,以及后端日志服务运行状态。
而“production”资料集外泄的消费者资料,包括许多gmail、yahoo及Hotmail电子邮件信箱。利用这些信箱中包含的消费者姓名,研究人员配合在网络上搜索已外泄的电子邮件,即可识别出部分消费者身份,这些信息也可用于钓鱼攻击或用于查询消费者其他活动。而利用访客或连接ID,理论上也可以比对出消费者搜索或放入购物车的商品,再以Email识别出消费者身份。
image :WebsitePlanet
image:WebsitePlanet
研究人员发现后立即通知CVS Health,CVS当天就做出处置,关闭公开访问的渠道。
不过CVS Health解释,流出的消费者电子邮件并非外泄自CVS客户账号系统的资料,而是消费者误输入浏览器的搜索框而成为日志记录的一部分。
研究人员表示未下载或访问所有外泄的资料,也未说明这些资料可追溯的创建时间点。
不过这类因组态错误而使大批用户资料曝光事件屡见不鲜。从电信企业、军方、保险公司、美国选务单位,都曾发生过数十万到数百万用户或公民资料外泄事件。