idNSA.id - Para peneliti menemukan database yang tidak dilindungi milik CVS Health yang diekspos secara online yang berisi lebih dari satu miliar catatan.
Minggu ini WebsitePlanet bersama dengan peneliti Jeremiah Fowler menemukan database tidak aman, milik perusahaan kesehatan dan farmasi AS CVS Health, yang diekspos secara online. Basis data dapat diakses oleh semua orang tanpa jenis otentikasi apa pun.
“Pada 21 Maret 2021, tim peneliti WebsitePlanet bekerja sama dengan Peneliti Keamanan Jeremiah Fowler menemukan basis data yang tidak dilindungi kata sandi yang berisi lebih dari 1 miliar catatan. Setelah penelitian lebih lanjut, jelas bahwa data tersebut terhubung dengan CVS Health.” lapor situs web WebsitePlanet .
Para peneliti yang bertanggung jawab mengungkapkan kepada CVS Health yang segera mengamankan arsip pada hari yang sama.
Konten basis data 204GB mencakup total 1.148.327.940 catatan yang berisi data agregat dan data peristiwa, catatan produksi yang memaparkan ID pengunjung, ID sesi, dan informasi perangkat (yaitu: iPhone, Android, iPad, dll.).
Beberapa catatan yang terpapar juga mencakup pertanyaan pengunjung untuk berbagai istilah, termasuk obat-obatan, vaksin Covid 19, dan produk CVS Health lainnya. Info ini secara teoritis dapat digunakan untuk mengidentifikasi pelanggan.
"Secara hipotesis, mungkin saja untuk mencocokkan ID Sesi dengan apa yang mereka cari atau tambahkan ke keranjang belanja selama sesi itu dan kemudian mencoba mengidentifikasi pelanggan menggunakan email yang terbuka," lanjut laporan tersebut.
Para ahli menjelaskan bahwa permintaan sampel pencarian mengungkapkan email yang bisa menjadi target serangan rekayasa sosial atau berpotensi digunakan untuk referensi silang tindakan lain.
Menurut CVS Health, database tanpa jaminan dikelola oleh vendor pihak ketiga yang tidak disebutkan namanya.
“Sekali lagi terima kasih telah menghubungi kami tentang hal ini. Kami dapat menghubungi vendor kami dan mereka segera mengambil tindakan untuk menghapus database. Melindungi informasi pribadi pelanggan kami dan perusahaan kami adalah prioritas tinggi, dan penting untuk dicatat bahwa basis data tidak berisi informasi pribadi pelanggan, anggota, atau pasien kami.” membaca pernyataan yang diterbitkan oleh CVS Health.
