Categories: Authentifizierung

US-Apothekenkette meldet massiven Datenverlust

WebsitePlanet und der Forscher Jeremiah Fowler haben eine ungesicherte Datenbank entdeckt, die der US-Apothekenkette CVS Health gehört. Sie war nicht durch ein Kennwort geschützt und auch sonst gab es keinerlei Authentifizierung, um unbefugte Zugriffe zu unterbinden. CVS Health hat die Echtheit der Daten inzwischen bestätigt.

Die rund 204 GByte große Datenbank enthält der Analyse zufolge mehr als eine Milliarde Datensätze. Enthalten sind unter anderem Event- und Konfigurationsdaten wie Besucher-IDs und Session-IDs. In der Datenbank wurden aber auch Details zu den Geräten erfasst, über die auf die Website von CVS Health zugegriffen wurde. Die Daten sollen außerdem Rückschlüsse auf die Funktionsweise des Logging-Systems erlauben.

Darüber hinaus wurden auch Suchanfragen von Nutzern zu Medikamenten oder COVID-19-Impfstoffen sowie einer Vielzahl von CVS-Produkten aufgezeichnet. “Theoretisch wäre es möglich, eine Sitzungs-ID den Suchanfragen oder dem Warenkorb hinzugefügten Produkten zuzuordnen und dann einen Kunden mithilfe von preisgegebenen E-Mails zu identifizieren”, heißt es in dem Bericht.

Die Forscher außerdem davon aus, dass von dem System erfasste E-Mails auch für Phishing-Angriffe eingesetzt werden könnten. Außerdem könnten sich Mitbewerber von CVS Health für die Inhalte der Datenbank interessieren.

CVS Health betonte, dass die Datenbank von einem Lieferanten verwaltet wurde. Der öffentliche Zugang sei unmittelbar nach der Benachrichtigung durch Website Planet eingeschränkt worden.

“Im März dieses Jahres wurden wir von einem Sicherheitsforscher über eine öffentlich zugängliche Datenbank informiert, die nicht identifizierbare Metadaten von CVS Health enthielt”, so CVS Health gegenüber ZDNet USA. “Wir haben das sofort untersucht und festgestellt, dass die Datenbank, die von einem Drittanbieter gehostet wurde, keine persönlichen Informationen unserer Kunden, Mitglieder oder Patienten enthielt. Wir haben mit dem Anbieter zusammengearbeitet, um die Datenbank schnell abzuschalten. Wir haben das Problem mit dem Anbieter geklärt, um eine Wiederholung zu verhindern, und wir danken dem Forscher, der uns über diese Angelegenheit informiert hat.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

1 Minute ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

5 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

8 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

2 Tagen ago

Hacking-Event Pwn2Own: 25 Zero-Day-Schwachstellen aufgedeckt

Die Hunter nahmen Unternehmenssoftware ins Visier, um Schwachstellen in häufig genutzten Anwendungen ausfindig zu machen.

2 Tagen ago

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

2 Tagen ago