Photo credit: Mike Kalasnik on flickr (https://www.flickr.com/photos/10542402@N06/8282756204)

美國健康照護集團CVS Health一個包含消費者及營運資料的資料庫,被安全研究人員發現曝露於網路上,數量超過10億筆。

研究公司WebsitePlanet與研究人員Jeremiah Fowler在今年3月21日,發現到一個包含10億筆資料的資料庫未設密碼。經過調查,證實屬於CVS Health。

CVS Health為美國健康照護事業集團,下有全美最大藥妝通路連鎖CVS藥局、Target藥局、健康保險公司安泰(Aetna)、及健康管理服務Caremark、Omnicare等品牌。

這個曝光的資料庫內有204GB,總數達11.5億筆。以資料型態來看,包含事件及集結資料索引。線上商店資料涵括消費者加入或從購物車移除品項、搜尋關鍵字、進階搜尋、訂單資料及儲存的伺服器、組態、儀表板、index-pattern等。名為「production」的資料集中包含了消費者資料,例如訪客ID、連線ID、裝置型態(如iPhone、iPad或Android裝置)。

研究人員指出,外洩的檔案可讓看到資料的人清楚了解組態設定、資料儲存地點,以及後端日誌服務運作狀態。

而「production」資料集外洩的消費者資料,包括許多gmail、yahoo及Hotmail電子郵件信箱。利用這些信箱中包含的消費者姓名,研究人員配合在網路上搜尋已外洩的電子郵件,即可辨識出部分消費者身分,這些資訊也可用於釣魚攻擊或用於查詢消費者其他活動。而利用訪客或連線ID,理論上也可以比對出消費者搜尋或放入購物車的商品,再以Email辨識出消費者身分。

image:WebsitePlanet

image:WebsitePlanet

研究人員發現後立即通知CVS Health,CVS當天就做出處置,關閉公開存取的管道。

不過CVS Health解釋,流出的消費者電子郵件並非外洩自CVS客戶帳號系統的資料,而是消費者誤輸入瀏覽器的搜尋列而成為日誌記錄的一部分。

研究人員表示未下載或存取所有外洩的資料,也未說明這些資料可追溯的建立時間點。

不過這類因組態錯誤而使大批用戶資料曝光事件屢見不鮮。從電信業者軍方保險公司美國選務單位,都曾發生過數十萬到數百萬用戶或公民資料外洩事件。


熱門新聞

Advertisement