CVS Health の膨大なデータベースがオンラインで漏えいした

Over a billion records belonging to CVS Health exposed online

2021/06/17 SecurityAffairs — 今週のこと、WebsitePlanet と 研究者である Jeremiah Fowler は、米国の大手医療・製薬企業である CVS Health が所有するセキュリティ保護の無いデータベースが、オンラインで公開されていることを発見した。このデータベースは、いかなる認証も必要とせず、誰でもアクセスが可能である。

WebsitePlanet の Web サイトでは、「2021年3月21日に、セキュリティ研究者であるJeremiah Fowler と WebsitePlanet の Research Team の協力により、10億件以上のレコードを含む、パスワードで保護されていないデータベースが発見された。さらなる調査の結果、それらのデータが CVS Health に関連していることが明らかになった」と報告されている。研究者の責任において CVS Health に情報を開示したところ、その日のうちに、同社によるアーカイブの削除が実施された。

204GB のデータベースの内容は、集計データとイベントデータを含む、合計で 11億4,832万7,940件のレコードであり、訪問者の ID/セッション ID/デバイス情報 (iPhone / Android / iPad) などが公開されている、プロダクション・レコードが含まれている。公開されたレコードの中には、訪問者が検索した、医薬品/Covid 19 ワクチン/CVS Health 製品などの、広範囲におよぶ用語と記録も含まれる。これらの情報は、顧客を特定するために悪用される可能性があり、倫理面での問題を生じる。

この安全性の低いデータベースは、無名のサードパーティ・ベンダーにより管理されていたという、CVS Health の発言を、この記事は紹介しています。CVS Health が発表した声明文には、「この件で、ご連絡いただいた方々に、改めてお礼を申し上げる。当社はベンダーに連絡を取り、直ちにデータベースを削除する措置をとった。当社における顧客情報と個人情報を保護することは最優先事項であり、このデータベースには顧客/会員/患者の個人情報が、一切含まれていなかったことをお伝えする」と書かれているそうです。

%d bloggers like this: