Búsqueda en línea: Registros médicos de exposición CVS
El 21 de marzo de 2021, el equipo de investigación de WebsitePlanet, en colaboración con el investigador de seguridad Jeremiah Fowler, descubrió una base de datos desprotegida que contenía más de mil millones de registros. Tras más estudios, quedó claro que estos datos eran relevantes para CVS Health. Inmediatamente enviamos un Aviso de divulgación responsable a CVSHealth y restringimos el acceso público el mismo día.
El contenido de la base de datos es el siguiente:
Tamaño total: 204.0Gb Número total de registros: 1148327940 La base de datos contiene los siguientes archivos:
Índice: agregado datos y datos de eventos.
Tipos: Añadir al carrito, Configuración, Panel de control, Modo índice, Más mejoras, Ordenar, Quitar del carrito, Buscar, Servidor.
Muestreo de registros de producción que expone los ID de los visitantes, los ID de las sesiones, la información del dispositivo (por ejemplo, iPhone, Android, iPad, etc.). Los correos electrónicos mostrados en las consultas de búsqueda pueden ser el objetivo de ataques de phishing de ingeniería social o pueden usarse. para cruzar otras acciones. Estos archivos proporcionan una comprensión clara de los ajustes de configuración, dónde se almacenan los datos y un modelo de cómo se ejecuta el servicio de registro desde el backend.
CVSHealth actuó rápida y profesionalmente para proteger los datos, y un miembro de su equipo de seguridad de la información se comunicó conmigo al día siguiente para confirmar mis hallazgos y confirmar que los datos eran realmente suyos. Me dijeron que este es el contratista o proveedor que administra el conjunto de datos en nombre de CVSHealth, pero quién es ese proveedor es confidencial.
Los registros expuestos están marcados como "Producción". En nuestra búsqueda de información potencialmente identificable, realizamos múltiples búsquedas de extensiones de correo electrónico comunes como Gmail, Hotmail y Yahoo. Cada consulta en el conjunto de datos tiene resultados que indican que los registros contienen direcciones de correo electrónico. Se sabe que muchas direcciones de correo electrónico personales se formatean utilizando parte o la totalidad de su nombre de usuario. Además, pude identificar una pequeña cantidad de personas simplemente buscando direcciones de correo electrónico públicas en Google.
El registro también contiene "ID de visitante" e "ID de sesión". Vi varios registros que mostraban a los visitantes buscando una variedad de artículos, incluidos medicamentos, vacunas COVID-19 y otros productos CVS. Hipotéticamente, se puede hacer coincidir el ID de la sesión con algo que buscaron o agregaron a su carrito durante la sesión y luego intentar identificar al cliente utilizando el correo electrónico expuesto.
Según un representante de CVS, los correos electrónicos no provenían de registros de cuentas de clientes de CVS, sino que los propios visitantes los ingresaban en la barra de búsqueda. La barra de búsqueda captura y registra todo lo ingresado en la función de búsqueda del sitio, y estos registros se almacenan como archivos de registro.
Una posible teoría al ver la versión móvil del sitio web de CVS es que los visitantes pueden pensar que han iniciado sesión en su cuenta, pero en realidad están escribiendo su dirección de correo electrónico en la barra de búsqueda. La búsqueda tiene el formato del parámetro "Tipo de evento" y está configurada en "Buscar", y la dirección de correo electrónico es el valor del parámetro denominado "Consulta". Esto puede explicar por qué tantas direcciones de correo electrónico terminan en una base de datos de búsqueda de productos que no pretende identificar a los visitantes. Los registros también muestran qué dispositivo se utilizó, y la mayoría de las búsquedas que vi fueron desde teléfonos celulares y dispositivos móviles, pero también hubo computadoras de escritorio.
CVSHealth nos proporcionó la siguiente declaración:
“Gracias nuevamente por contactarnos sobre esto. Pudimos comunicarnos con nuestro proveedor y tomaron medidas inmediatas para eliminar la base de datos. Proteger a nuestros clientes y la información privada de la empresa es una alta prioridad y es importante tener en cuenta que la base de datos no contiene ninguna información personal de nuestros clientes, miembros o pacientes ”Registro de actividad: una herramienta esencial para rastrear sitios web o comercio electrónico. Toda la actividad en la plataforma ayuda a generar información valiosa sobre sus visitantes y clientes. Este registro y seguimiento a menudo contiene metadatos o registros de errores que pueden exponer inadvertidamente registros más confidenciales. En este caso, se trata de registros de búsqueda de todo lo que buscaron los visitantes, incluidas las referencias a CVSHealth y CVS. Formato de nombre de dominio común. Esto proporcionará datos analíticos valiosos para comprender qué buscan los clientes y si encuentran los productos que buscan.
El sistema de inicio de sesión utiliza una identificación de visitante alfanumérica para garantizar que los compradores sean anónimos. Es importante tener en cuenta que esta base de datos no recopila perfiles de visitantes ni direcciones de correo electrónico del carrito de compras. Desafortunadamente, sólo se puede achacar el error humano a malas configuraciones de las bases de datos expuestas públicamente y a los visitantes del sitio web que ingresan sus direcciones de correo electrónico en la barra de búsqueda. Sugiero a CVS que en el futuro impidan que se realicen o registren búsquedas que coincidan con patrones de direcciones de correo electrónico o nombres de dominio. Esto ayuda a evitar la recopilación o el almacenamiento de datos innecesarios.
Los ID de visitante y los ID de sesión en sí no contienen datos identificables y solo cuando se combinan con una dirección de correo electrónico, es posible identificar al usuario. En teoría, la búsqueda seguirá creando un "ID de sesión" que puede no cambiar durante la visita y podrá vincular el correo electrónico con ese "ID de sesión". Esta exposición puede haber identificado una cantidad desconocida de sesiones en las que los usuarios agregaron correos electrónicos en la barra de búsqueda y luego continuaron realizando otras acciones, como el historial de búsqueda y productos agregados o eliminados de sus carritos de compras en línea. Los ID de sesión con los correos electrónicos son únicos y las marcas de tiempo no son consecutivas, lo que sugiere que es poco probable que se trate de consultas de búsqueda automatizadas.
No descargamos ni extraemos los datos de acceso público que encontramos y solo tomamos un número limitado de capturas de pantalla para su verificación. Siempre es una carrera contra el tiempo ayudar a proteger los datos expuestos antes de que puedan ser explotados o eliminados por el ransomware. No podemos revisar los 1.100 millones de registros debido a nuestra urgente necesidad de informar responsablemente esta exposición y a la rapidez con la que los proveedores de CVS han restringido el acceso público. Sólo podemos observar una muestra limitada de registros, no todo el conjunto de datos.
Riesgos adicionales a considerar
Cuando se expone cualquier base de datos, se puede ver información de configuración, aplicación, software, sistema operativo e información de compilación que puede identificar vulnerabilidades potenciales sin parches o desactualizadas. Tanto los ciberdelincuentes como los Estados-nación utilizan métodos sofisticados para recopilar y explotar los datos que descubren. A menudo utilizan los mismos métodos que los investigadores de seguridad legítimos para identificar datos expuestos públicamente. Si bien trabajamos duro todos los días para proteger los datos, somos conscientes de que los ciberdelincuentes intentan explotar estos datos con fines nefastos. Cada registro de información es una pieza del rompecabezas y proporciona una imagen más amplia de la red o el enfoque de almacenamiento de datos de una organización.
Según Wikipedia: CVS Health es una empresa estadounidense de atención médica propietaria de la cadena de farmacias minoristas CVS Pharmacy; el administrador de beneficios farmacéuticos CVSCaremark, el proveedor de seguros médicos Aetna y muchas otras marcas. La empresa tiene su sede en Woonsocket, Rhode Island.
No implicamos ninguna irregularidad por parte de CVSHealth, sus contratistas o proveedores. Tampoco damos a entender que exista un riesgo para los clientes, miembros, pacientes o visitantes del sitio web. Las teorías expresadas aquí se basan en posibilidades hipotéticas de cómo se podrían utilizar estos datos. Hacemos hincapié en nuestros hallazgos simplemente para crear conciencia sobre la ciberseguridad y concienciar a la gente de que algo tan simple como registros de búsqueda y bases de datos mal configuradas pueden capturar y exponer datos.