2021 3月21日,WebsitePlanet研究团队与安全研究员JeremiahFowler合作发现了一个不受密码保护的数据库,其中包含超过10亿条记录。经过进一步研究,很明显这些数据与CVS健康有关。我们立即向CVS Health发送了一份负责任的披露通知,并在同一天限制了公众访问。
数据库包含的内容如下:
Total Size:204.0 Gb
总记录数:1148327940
数据库包含以下文件:
索引:聚合数据和事件数据。
类型:添加到购物车、配置、仪表板、索引模式、更多改进、订单、从购物车删除、搜索、服务器。
公开访客ID、会话ID、设备信息(如iPhone、Android、iPad等)的生产记录
抽样搜索查询显示的电子邮件可能会成为社交工程网络钓鱼攻击的目标,或可能用于交叉引用其他行动。这些文件清楚地了解了配置设置、数据存储的位置,以及日志服务如何从后端运行的蓝图。
CVS Health迅速、专业地采取行动保护数据,他们的信息安全团队的一名成员第二天联系了我,确认了我的发现,并确认数据确实是他们的。我被告知这是代表CVS Health管理该数据集的承包商或供应商,但该供应商是谁是保密的。
暴露的记录被标记为“生产”。在搜索潜在的可识别信息时,我们对常见的电子邮件扩展进行了多次搜索,如Gmail、Hotmail和Yahoo。数据集中的每个查询都有结果,表明记录中包含电子邮件地址。众所周知,许多个人电子邮件地址都是使用用户名的部分或全部进行格式化的。此外,我只需在谷歌上搜索公开的电子邮件地址,就可以识别出一小部分个人。
记录中还包含“访客ID”和“会话ID”。我看到多个记录,显示访客正在搜索一系列物品,包括药物、新冠肺炎疫苗和其他CVS产品。假设,可以将会话ID与他们在会话期间搜索或添加到购物车的内容相匹配,然后尝试使用暴露的电子邮件识别客户。
根据CVS代表的说法,这些电子邮件不是来自CVS客户账户记录,而是访客自己输入搜索栏的。搜索栏捕获并记录所有输入网站搜索功能的内容,这些记录存储为日志文件。
在查看CVS网站的移动版本时,有一种可能的理论是,访问者可能认为他们登录了自己的帐户,但实际上是在搜索栏中输入了自己的电子邮件地址。搜索被格式化为“事件类型”参数,并被设置为“搜索”,电子邮件地址是名为“查询”的参数的值。这可以解释为什么如此多的电子邮件地址最终出现在一个产品搜索数据库中,而该数据库并不打算识别访问者。记录还显示了使用了什么设备,我看到的大部分搜索都来自手机和移动设备,但也有台式电脑。
CVS Health向我们提供了以下声明:
“再次感谢您就此联系我们。我们能够联系到我们的供应商,他们立即采取行动删除数据库。保护我们客户和公司的私人信息是一个高度优先事项,需要注意的是,数据库不包含我们客户、成员或患者的任何个人信息。”
活动日志记录:一个必要的工具
跟踪网站或电子商务平台上的所有活动有助于建立关于访客和客户的宝贵见解。此日志记录和跟踪通常包含元数据或错误日志,这些日志会无意中暴露更敏感的记录。在本例中,这些是来自访问者搜索的所有内容的搜索日志,其中包含对CVS Health和CVS的引用。通用域名格式。这将提供有价值的分析数据,以了解客户在寻找什么,以及他们是否找到了他们想要的产品。
登录系统使用了字母数字混合的访客ID,以确保购物者是匿名的。需要注意的是,该数据库并未收集访客个人资料或购物车的电子邮件地址。不幸的是,只有人为错误才能被归咎于公开暴露数据库的错误配置和在搜索栏中输入自己电子邮件地址的网站访问者。我向CVS建议,将来他们应该阻止任何与电子邮件地址模式或域名匹配的搜索被执行或记录。这有助于避免收集或存储不需要的数据。
访客ID和会话ID本身不包含可识别的数据,只有当与电子邮件地址结合时,才有可能识别用户。理论上,搜索仍然会创建一个“会话ID”,在访问期间可能不会更改,并且能够将该电子邮件与该“会话ID”链接。这种暴露可能已经确定了未知数量的会话,用户在搜索栏中添加电子邮件,然后继续执行其他操作,例如;搜索历史记录,以及从其在线购物车中添加或删除的产品。带有电子邮件的会话ID是唯一的,时间戳不是连续的,这表明这些不太可能是自动搜索查询。
我们不下载或提取我们发现的公开可访问数据,只拍摄有限数量的屏幕截图以进行验证。在被勒索软件利用或清除之前,帮助保护暴露的数据始终是一场争分夺秒的竞赛。我们无法审查所有11亿份记录,因为我们迫切需要负责任地报告这一暴露,以及CVS供应商限制公众访问的速度有多快。我们只能查看有限的记录样本,而不是整个数据集。
考虑的其他风险
当任何数据库暴露时,可能会看到配置、应用程序、软件、操作系统和构建信息,这些信息可能会识别未修补或过时的潜在漏洞。网络罪犯和民族国家都使用复杂的方法来收集和利用他们发现的数据。他们通常使用与合法安全研究人员相同的方法来识别公开暴露的数据。虽然我们每天都在努力保护数据,但我们发现有网络罪犯试图利用这些数据达到邪恶的目的。每一条信息记录都是一块拼图,提供了一个组织的网络或数据存储方法的更大图景。
根据维基百科:CVS Health是一家美国医疗保健公司,拥有零售连锁药店CVS Pharmacy;药房福利经理CVS Caremark;健康保险提供商安泰保险(Aetna)和许多其他品牌。该公司的总部位于罗德岛州的Woonsocket。
我们没有暗示CVS Health、其承包商或供应商有任何不当行为。我们也不是在暗示客户、会员、患者或网站访问者存在风险。这里表达的理论是基于如何使用这些数据的假设可能性。我们强调我们的发现只是为了提高网络安全意识,让人们意识到像搜索日志和错误配置的数据库这样简单的东西可能会捕获和暴露数据。