这又是一个可能影响安全性的配置错误示例。

超过 10 亿条属于 CVS Health 的记录已在网上曝光。

周四，WebsitePlanet和研究人员Jeremiah Fowler透露，他们发现了CVS Health的一个在线数据库。该数据库没有密码保护，也没有防止未经授权的输入的身份验证形式。

在检查数据库后，研究小组发现了超过10亿条记录，这些记录与这家美国医疗保健和制药巨头有关，后者拥有CVS制药公司和安泰等品牌。

该数据库的大小为 204GB，包含事件和配置数据，包括访问者 ID 的生成记录、会话 ID、设备访问信息（例如访问公司域名的访问者是否使用了 iPhone 或 Android 手机），以及团队所称的记录系统如何从后端运行的“蓝图”。

暴露的搜索记录还包括药物、COVID-19 疫苗和各种 CVS 产品的查询，同时引用了 CVS 健康和 CVS.com。

报告指出“也许，可以将会话ID与他们在该会话期间搜索或添加到购物车的内容相匹配，也可以尝试使用暴露的电子邮件识别客户。”

研究人员表示，这个不安全的数据库可以通过交叉引用一些登录系统的电子邮件(很可能是在搜索栏上偶然提交的)来进行有针对性的网络钓鱼，或者用于交叉引用其他行为操作。竞争对手可能也对系统中生成和存储的搜索查询数据感兴趣。

WebsitePlanet向CVS Health发送了一份私人披露通知，并很快收到了回复，确认该数据集属于该公司。

CVS Health表示，该数据库由一家不愿透露姓名的供应商代表公司管理，事件披露后，其对公众访问进行了限制。

CVS Health表示:“今年3月，一名安全研究人员通知我们，一个公开访问的数据库包含不可识别的CVS Health元数据。我们立即进行了调查，并确定由第三方供应商托管的数据库不包含我们的客户、成员或患者的任何个人信息。我们与供应商合作，迅速关闭了数据库。为防止再次发生，我们已经和供应商协议防护措施，我们感谢通知我们这一问题的研究人员。”（本文出自SCA安全通信联盟，转载请注明出处。）