Pelanggaran Database Kesehatan CVS Meninggalkan 1 Miliar Catatan Pengguna Terungkap Secara Online

  • Whatsapp
Pelanggaran Database Kesehatan CVS Meninggalkan 1 Miliar Catatan Pengguna Terungkap Secara Online

 

Bacaan Lainnya

Peneliti keamanan telah menemukan database online milik CVS Health yang mengekspos lebih dari satu miliar catatan online.

Pada 21 Maret 2021, tim peneliti Website Planet bekerja sama dengan peneliti keamanan siber independen Jeremiah Fowler menemukan database yang tidak dilindungi kata sandi milik kesehatan CVS yang berisi lebih dari 1 miliar catatan.

CVS Health, yang berkantor pusat di Woonsocket, Rhode Island adalah perusahaan perawatan kesehatan Amerika yang memiliki CVS Pharmacy, rantai apotek ritel; CVS Caremark, manajer manfaat apotek; Aetna, penyedia asuransi kesehatan, di antara banyak merek lainnya.

Basis data, yang berukuran sekitar 204 gigabyte, berisi data peristiwa dan konfigurasi termasuk catatan produksi ID pengunjung, ID sesi, alamat email pelanggan, dan pencarian pelanggan di situs web CVS Pharmacy untuk vaksin COVID-19 dan obat-obatan lainnya. Basis data yang bocor tidak memiliki bentuk otentikasi untuk mencegah entri yang tidak sah, kata Jeremiah Fowler.

“Secara hipotetis, dimungkinkan untuk mencocokkan ID Sesi dengan apa yang mereka cari atau tambahkan ke keranjang belanja selama sesi itu dan kemudian mencoba mengidentifikasi pelanggan menggunakan email yang terbuka,” tulis Fowler.

Menurut Website Planet, database yang bocor dapat digunakan dalam phishing yang ditargetkan dengan merujuk silang beberapa email yang juga masuk ke sistem — kemungkinan melalui pengiriman bilah pencarian yang tidak disengaja — atau untuk referensi silang tindakan lain. Pesaing juga mungkin tertarik dengan data permintaan pencarian yang dihasilkan dan disimpan dalam sistem.

WebsitePlanet mengirimkan pemberitahuan pengungkapan yang bertanggung jawab kepada CVS Health dan dengan cepat menerima tanggapan yang mengonfirmasi bahwa kumpulan data tersebut adalah milik perusahaan. CVS Health mengatakan database dikelola oleh vendor yang tidak disebutkan namanya atas nama perusahaan dan akses publik dibatasi setelah pengungkapan.

“Pada bulan Maret tahun ini, seorang peneliti keamanan memberi tahu kami tentang basis data yang dapat diakses publik yang berisi metadata CVS Health yang tidak dapat diidentifikasi. Kami segera menyelidiki dan menentukan bahwa basis data, yang di-host oleh vendor pihak ketiga, tidak berisi data pribadi apa pun. informasi pelanggan, anggota, atau pasien kami. Kami bekerja dengan vendor untuk menghapus database dengan cepat. Kami telah mengatasi masalah ini dengan vendor untuk mencegah terulangnya kembali dan kami berterima kasih kepada peneliti yang memberi tahu kami tentang masalah ini, “CVS Health kepada ZDNet.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *