Ein mit der Muttergesellschaft der Apotheke verbundener Dritter hat eine Milliarde Benutzerdatensätze ungesichert hinterlassen und E-Mail-Adressen, Benutzer-IDs und mehr offengelegt.
Foto: Scott Olson (Getty Images)CVS, dieses glorreiche, geschäftige Unternehmen, bei dem die Einnahmen die Reichweite der Menschen übersteigen, hat einen ebenso unendlichen Datenverlust erlitten.
Ungefähr eine Milliarde Nutzerdatensätze von CVS Health, der Muttergesellschaft, die das Netz der fluoreszierenden Höllenlandschaften besitzt, wurden kürzlich dem Internet ausgesetzt .
Die Daten, die anscheinend sowohl von cvs.com als auch von cvshealth.com gesammelt wurden, stellen typische Website-Besucherprotokolle dar, die von Unternehmen routinemäßig katalogisiert werden, um zu messen, wie Verbraucher mit ihren Plattformen interagieren.
Health besitzt nicht nur die CVS-Apothekenkette, sondern auch viele andere große Gesundheitsunternehmen, darunter der Versicherungsriese Aetna. Kunden verwenden normalerweise die Domains von Health, um ihre CVS-Kontoinformationen zu speichern und/oder nach Produkten und Medikamenten zu suchen.
Die Cloud-Datenbank, in der all diese Informationen gespeichert sind, etwa 204 Gigabyte davon, wurde für unbestimmte Zeit ohne Passwort offen und für das Internet sichtbar gelassen. Die Datenbank wurde von einem Drittanbieter betrieben, dessen Identität CVS nicht bekannt gegeben hat. Die Sicherheitslücke wurde von Website Planet aufgedeckt, die nach ungesicherten Internetdaten sucht.
G/O Media kann eine Provision erhalten
15% Rabatt auf Ihre erste BestellungHum Nutrition Gummy SupplementsFür $11bei Hum Nutrition Verwenden Sie den Aktionscode CODE
Zusätzlich zu Benutzer-E-Mail-Adressen, Besucher- und Sitzungs-IDs und Geräteinformationen enthalten die Daten Metadatenkategorien wie „In den Warenkorb“, „Bestellen“, „Aus dem Warenkorb entfernen“ und „Suchen“, was bedeutet, dass jemand ziemlich leicht ein ziemlich intimes Bild der Person, die die Website nutzt, ihrer gesundheitlichen Schwächen und Bedenken und mehr zusammenstellen kann.
„Ich habe mehrere Datensätze gesehen, die darauf hindeuteten, dass Besucher nach einer Reihe von Artikeln suchten, darunter Medikamente, Covid-19-Impfstoffe und andere CVS-Produkte“, sagte Jeremy Fowler von Website Planet. „Hypothetisch wäre es möglich gewesen, die Sitzungs-ID mit dem abzugleichen, was sie während dieser Sitzung gesucht oder zum Warenkorb hinzugefügt haben, und dann zu versuchen, den Kunden anhand der exponierten E-Mails zu identifizieren.“
Ja, es gibt unzählige Möglichkeiten, wie Cyberkriminelle diese Daten für schändliche Zwecke ausnutzen könnten. Das erste, was einem in den Sinn kommt, sind Phishing-Angriffe, aber im Allgemeinen möchten Sie niemals, dass Fremde im Internet intime Details über Ihre gesundheitlichen Bedenken erfahren.
CVS teilte Fowler mit, dass sie sich an den Dritten gewandt hätten, der „sofort Maßnahmen ergriff, um die Datenbank zu entfernen“. Wir haben CVS Health um einen Kommentar gebeten und werden diese Geschichte aktualisieren, wenn sie sich bei uns melden.
Lucas RopekPostsTwitter
Mitarbeiter bei Gizmodo