保護されていないCVSデータベースが機密性の高い顧客検索を公開

研究者は、アメリカのヘルスケア企業CVS Healthに属する10億を超えるレコードを含む、保護されていない公開されたオンラインデータベースを発見しました。

公開されたCVSデータベース

研究者のジェレミア・ファウラーとWebsitePlanetの研究チームによる発見は、2021年3月に行われ、CVS Healthに通知され、データベースの保護を担当する(名前のない)サードパーティベンダーに連絡した後、翌日にデータベースが保護されました。

「CVSHealthはデータを保護するために迅速かつ専門的に行動し、情報セキュリティチームのメンバーが翌日私に連絡し、私の調査結果を確認し、データが実際に彼らのものであることを確認しました。これはCVSHealthに代わってこのデータセットを管理した請負業者またはベンダーであると知らされましたが、ベンダーが誰であるかについては秘密でした」とファウラー氏は述べています。

どのタイプのデータにアクセスできましたか?

研究者以外の誰かが以前に公開されたデータベースを見つけたり、内部に保持されているデータを盗み出したりしたかどうかはまだ不明ですが、ファウラーによれば、CVS HealthとCVS.comで行われた検索と一部の電子メールアドレスを含むデータは、一部の顧客を特定し、ソーシャルエンジニアリング攻撃(フィッシングなど)の標的にするために使用されます。

「CVSの担当者によると、これらの電子メールはCVSの顧客アカウントの記録からのものではなく、訪問者自身が検索バーに入力したものです。検索バーは、ウェブサイトの検索機能に入力されたすべてのものをキャプチャしてログに記録し、これらのレコードはログファイルとして保存されました」とファウラー氏は説明しました

「レコードには、「ビジターID」と「セッションID」も含まれていました。訪問者が医薬品、Covid 19ワクチン、その他のCVS製品を含むさまざまなアイテムを検索していることを示す複数の記録を見ました。仮に、セッションIDを、そのセッション中に検索したものやショッピングカートに追加したものと照合し、公開された電子メールを使用して顧客を特定しようとする可能性があります。」

業界からのコメント

WizのCTO兼共同創設者であるAmiLuttwak氏は、このデータ公開は誰も驚かないはずだと述べています。クラウドセキュリティチームは、これらのインシデントを防ぐ唯一の方法であるため、意図しない露出を積極的に検索する必要があります。」

Netskopeの脅威調査ディレクターであるRayCanzanese氏は、不適切に構成されたセキュリティグループ、ネットワークアクセス制御リスト(NACL)、ファイアウォールルールは、AWS、Azure、GCPなどのIaaSプロバイダーでよく見られるタイプのエクスポージャーであると述べました。

「最近、3つの主要なIaaSプロバイダーにわたるIaaS環境でのコンピューティングインフラストラクチャの公開に関する調査を実施しました。これは、コンピューティングインスタンスの35%以上が少なくとも1つのサービスをインターネットに公開していることを示しています」と彼はHelp NetSecurityに語りました。

「このような露出を回避するためにできることには、自分のクラウド環境を自動的にスキャンして、露出したリソースを検出してロックダウンすることが含まれます。ZTNA製品は、オンプレミスでホストされているかクラウドでホストされているかに関係なく、従業員がインターネットに公開することなく、クラウドリソースに安全にアクセスできるようにする手段も提供します。」

AppRiverのシニアサイバーセキュリティアナリストであるDavidPickett氏は、機密性の高い顧客情報を保護する以外に、組織はセキュリティとクラウド移行を支援するために持ち込まれたサードパーティベンダーが適切なセキュリティ対策を講じていることを確認する必要があると述べています。

「この場合、データベースはパスワードで保護されておらず、認証要件もありませんでした。2要素認証(2FA)または多要素認証(MFA)保護アプローチを実装すると、ほとんどの場合、ユーザーの電話、電子メールアドレス、またはオーセンティケーターに送信される一意のコードを介して、ユーザーにIDを確認させることにより、セキュリティの追加レイヤーが提供されます。アプリ、ユーザー名とパスワードを入力した後。サイバー犯罪者が最も複雑なパスワードを侵害することも容易になっているため、2FAの実装が重要です」と彼は説明しました。

「会社のデータにアクセスできるサードパーティベンダーと協力する際に​​注意すべきもう1つの要素は、ベンダー契約に含まれるセキュリティ慣行の内容を確認して理解することです。これらのソリューションは、データがオンラインで公開された企業の長いリストの中で、企業が別の統計になるのを防ぐのに役立ちます。」