Registros de salud de CVS para 1,1 mil millones de clientes expuestos - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Registros de salud de CVS para 1,1 mil millones de clientes expuestos

Hola y mil gracias por leerme. Soy Eduardo Arroyo y hoy hablaremos sobre Registros de salud de CVS para 1,1 mil millones de clientes expuestos

Registros de salud de CVS para 1,1 mil millones de clientes expuestos

Un proveedor expuso los registros, a los que se podía acceder sin contraseña u otra autenticación, posiblemente debido a una configuración incorrecta del almacenamiento en la nube.

Más de mil millones de registros de clientes de CVS Health quedaron en la base de datos de un proveedor externo sin nombre: expuestos, desprotegidos, Online. Los investigadores dijeron que los puntos de datos revelados podrían juntarse para crear una instantánea extremadamente personal de la situación médica de alguien.

Es probable que la falla se deba a un error humano, dijo el investigador de seguridad Jeremiah Fowler en un mandar en WebsitePlanet Thursday: En otras palabras, es probable que se produzca otra incidencia más de errores de configuración desenfrenados que plagan el almacenamiento basado en la nube, lo que lleva a la exposición de datos confidenciales en una red interna.

Según la publicación de Fowler, los investigadores de WebsitePlanet, un portal para desarrolladores web y comercializadores de Internet, encontraron que la base de datos no estaba protegida con contraseña, que no tenía forma de autenticación para evitar la entrada no autorizada, el 21 de marzo. Coordinaron con Fowler para documentar su descubrimiento y ese mismo día, después de contactar a CVS Health, la base de datos desnuda se cerró a la vista del público.

CVS Health es la empresa matriz detrás de varias marcas nacionales, incluida la cadena de farmacias minoristas CVS Pharmacy; CVS Caremark, administrador de beneficios de farmacia; y Aetna, un proveedor de seguros médicos.

Un portavoz de CVS confirmó los hallazgos de los investigadores, indicando que CVS Health había sido notificado de la exposición de una base de datos de acceso público que contenía metadatos CVS Health no identificables. Después de una investigación, determinaron que la base de datos estaba alojada por un proveedor externo, cuyo nombre la empresa no reveló. La base de datos no contenía ninguna información de identificación personal (PII) de clientes, miembros o pacientes, dijo la compañía en un comunicado, y la base de datos se eliminó rápidamente.

Como indica el informe del investigador, no hubo riesgo para los clientes, miembros o pacientes y trabajamos con el proveedor para eliminar rápidamente la base de datos. Hemos abordado el tema con el proveedor para evitar que vuelva a suceder y agradecemos al investigador que nos informó de este tema. —Declaración de salud de CVS.

¿Qué había en esa caché de datos CVS?

Fowler dijo en su publicación que de hecho había suficiente información para derivar la PII de los clientes, incluidas sus direcciones de correo electrónico. El tamaño total de la base de datos fue de 204 GB, según los investigadores. Contenía 1.100 millones de registros o, para ser precisos, 1.148.327.940 archivos. Se etiquetaron como «producción» e incluían información escrita en las barras de búsqueda, como los tipos de datos. add to cart, configuration, dashboard, index-pattern, more refinements, order, remove from cart, search, server.

Los registros también exponen campos llamados ID de visitante, ID de sesión e información del dispositivo, como si los clientes estaban usando un iPhone, Android, iPad o PC de escritorio. El equipo señaló que al juntar los datos, podrían revelar correos electrónicos que podrían ser el blanco de un ataque de phishing, ingeniería social o «potencialmente utilizados para referirse a otras acciones».

Se compilan los registros de clientes de CVS Health. Fuente: WebsitePlanet

Además, los archivos proporcionaron una «comprensión clara de los ajustes de configuración, dónde se almacenan los datos y un plano de cómo funciona el servicio de registro desde el backend», según el aviso.

En la búsqueda de PII, los investigadores realizaron varias consultas de búsqueda para extensiones de correo electrónico comunes, como Gmail, Hotmail y Yahoo, dijeron. Fueron recompensados ​​con resultados por cada consulta dentro del conjunto de datos, lo que indica que los registros en realidad contenían direcciones de correo electrónico. Fowler dijo que, dada la cantidad de direcciones de correo electrónico personales formateadas con partes o todo el nombre del usuario, pudo identificar «una pequeña muestra de personas simplemente buscando en Google la dirección de correo electrónico que se muestra públicamente».

Los registros también contenían los tipos de datos Visitor ID es Session ID, que indica los artículos que los visitantes han buscado, incluidos medicamentos, vacunas COVID-19 y otros productos CVS. Todos estos datos, combinados, podrían haber creado una instantánea de los detalles de salud privados de las personas, dijo Fowler.

«Hipotéticamente, habría sido posible hacer coincidir el ID de sesión con lo que buscaron o agregaron a su carrito durante esa sesión y luego tratar de identificar al cliente usando los correos electrónicos expuestos», dijo en el aviso.

Fuente: WebsitePlanet.

El representante de CVS que trató con los investigadores dijo que todos los correos electrónicos encontrados en la base de datos no provenían de cuentas de clientes de CVS. Más bien, fueron ingresados ​​en la barra de búsqueda por los propios visitantes, presumiblemente por error.

«La barra de búsqueda captura y registra todo lo que se ingresa en la función de búsqueda del sitio web y estos registros se han archivado como archivos de registro», explicó el asesor. «Al revisar la versión móvil del sitio CVS, es posible que los visitantes pensaran que estaban ingresando a su cuenta, pero en realidad estaban ingresando su dirección de correo electrónico en la barra de búsqueda».

Las búsquedas se han formateado como event type parámetros y se han establecido en search. Las direcciones de correo electrónico son valores para un parámetro con nombre interrogatorioFowler continuó, lo que «podría explicar cómo tantas direcciones de correo electrónico terminaron en una base de datos de búsqueda de productos que no tenía la intención de identificar al visitante».

Además, los registros muestran el dispositivo que usan los clientes, con la mayoría de las búsquedas provenientes de teléfonos y dispositivos móviles como iPhone o Android, así como algunas búsquedas provenientes de computadoras de escritorio.

Exposición de la base de datos: una bendición para los atacantes cibernéticos

Desafortunadamente, las actividades de registro que expusieron toda esta información es un «mal necesario», señaló el equipo, que puede conducir a la exposición de registros confidenciales.

«El seguimiento de toda la actividad desde un sitio web o una plataforma de comercio electrónico ayuda a generar información valiosa sobre visitantes y clientes», explicó el asesor. «Este registro y seguimiento a menudo puede contener metadatos o registros de errores que, inadvertidamente, exponen registros más confidenciales».

Los registros de búsqueda expuestos provienen de búsquedas realizadas tanto en CVS Health como en CVS.com y proporcionaron «análisis valiosos para ver qué buscan los clientes y si encuentran los productos que buscan», dijo el equipo. Esto incluye la posibilidad de que se hayan expuesto datos de configuración, aplicación, software, sistema operativo e información de compilación, datos que podrían identificar vulnerabilidades potenciales si están desactualizados o desactualizados.

Esta es información que los ciberdelincuentes o estados-nación adversarios pueden explotar, dijo el equipo. «A menudo utilizan los mismos métodos que los investigadores de seguridad legítimos para identificar los datos expuestos públicamente», según el aviso. «Cada registro de información actúa como una pieza de rompecabezas para proporcionar una imagen más amplia de la red de una organización o los métodos de almacenamiento de datos».

Errores de configuración en la nube en abundancia

Con el crecimiento explosivo del almacenamiento de datos basado en la nube, configuraciones erróneas como estas se están volviendo demasiado comunes, dijo PJ Norris, ingeniero de sistemas senior de la firma de ciberseguridad Tripwire. «Exponer datos confidenciales no requiere una vulnerabilidad sofisticada, y el rápido crecimiento del almacenamiento de datos basado en la nube ha expuesto debilidades en los procesos que dejan los datos disponibles para cualquiera», dijo a Threatpost el jueves por correo electrónico.

En septiembre, una encuesta de 2.064 depósitos de Google Cloud de Comparitech descubrió que el 6% de todos los depósitos de Google Cloud están mal configurados, se dejan abiertos a la Internet pública para que cualquiera pueda verlos, incluidos pasaportes, certificados de nacimiento y perfiles de datos personales de niños en India, y las credenciales del servidor de correo electrónico y los registros de chat de un desarrollador web ruso.

En marzo, el minorista de artesanías Hobby Lobby dejó 138 GB de información confidencial abierta a Internet, incluida una gran cantidad de información del cliente, debido a una configuración incorrecta del depósito de la nube.

«Una base de datos mal configurada en una red interna puede pasar desapercibida y, si se detecta, puede que no se haga pública, pero lo que está en juego es mayor cuando el almacenamiento de datos está conectado directamente a Internet», señaló Norris. “Las organizaciones deben identificar procesos para configurar de forma segura todos los sistemas, incluido el almacenamiento basado en la nube, como Elasticsearch y Amazon S3. Una vez que un proceso está en su lugar, los sistemas deben ser monitoreados para detectar cambios en sus configuraciones. Son problemas solucionables y hoy hay herramientas para ayudar ”.

Errores de configuración comunes

Ray Canzanese, director de investigación de amenazas en Netskope, dijo que la exposición a CVS Health es común en proveedores de infraestructura como servicio (IaaS) como Amazon Web Services (AWS), Azure y Google Cloud. Las configuraciones erróneas comunes ocurren en grupos de seguridad, ACL de red (NACL) y reglas de firewall, dijo a Threatpost por correo electrónico el jueves. De hecho, Netskope analizó recientemente la exposición pública de la infraestructura informática en entornos IaaS entre los tres principales proveedores de IaaS y descubrió que más del 35% de las instancias informáticas exponen al menos un servicio a Internet.

Netskope recomendó que, para evitar tales exposiciones, las organizaciones deberían escanear automáticamente sus entornos de nube para descubrir y bloquear los activos expuestos. Canzanese también recomendó una arquitectura de red de confianza cero como un medio para proporcionar a los empleados acceso seguro a los recursos de la nube, ya sea alojados en las instalaciones o en la nube, sin exponerlos a Internet.

Suscríbete a Threatpost para «Consejos y tácticas para una mejor búsqueda de amenazas«- un evento EN VIVO en Miércoles 30 de junio a las 2 p.m. ET en colaboración con Palo Alto Networks. Aprenda de los expertos de Palo Alto Unit 42 la mejor manera de detectar amenazas y cómo usar la automatización para ayudarlo. Registrar aquí libre.

.

No te olvides compartir en una historia de tu Instagram para que tus amigos lo consulten

??? ? ? ???

Comparte