La cyber-sécurité les chercheurs sont tombés par hasard sur un base de données du géant de la santé et de la vente au détail CVS qui aurait pu être utilisé pour identifier les clients.
Selon l’expert en sécurité Jeremiah Fowler, la base de données mesurait plus de 200 Go et contenait plus d’un milliard d’enregistrements. La base de données contenait un grand nombre de recherches sur CVS.com et CVSHealth.com pour des médicaments et des vaccins Covid-19, et d’autres éléments.
Étonnamment cependant, la base de données marquée comme « production » abritait également un grand nombre d’adresses e-mail.
« CVS Health a agi rapidement et professionnellement pour sécuriser les données et un membre de son équipe de sécurité de l’information m’a contacté le lendemain et a confirmé mes conclusions et que les données étaient bien les leurs. » Fowler c’est noté.
CVS a dit Forbes que la base de données était gérée par un fournisseur tiers et a été rapidement supprimée après que Fowler a signalé la fuite.
Sommaire
Enregistrement incessant
Fowler a remarqué les adresses e-mail de tous les fournisseurs de services de messagerie tout en parcourant la base de données pour des informations personnellement identifiables.
La plupart du temps, la base de données contenait des enregistrements indiquant que les visiteurs recherchaient une gamme d’articles.
Au cours de sa communication avec CVS, Fowler a appris que la base de données était un vidage des requêtes saisies dans la barre de recherche. Comme la plupart des adresses e-mail ont été saisies sur des appareils mobiles, il comprend que l’interface utilisateur de l’application a induit les utilisateurs en erreur en entrant leur adresse e-mail dans la barre de recherche en pensant qu’ils se connectaient à leur compte.
Fowler pense que la collecte par inadvertance d’adresses e-mail met en évidence les risques d’une journalisation incessante des activités.
« J’ai recommandé à CVS qu’à l’avenir, ils devraient bloquer toute recherche qui correspond à des modèles d’adresses e-mail ou à des noms de domaine d’être exécutées ou enregistrées. Cela pourrait aider à éviter la collecte ou le stockage de données indésirables », suggère Fowler.
