网络安全研究人员偶然发现了一个不安全的医疗保健和零售巨头 CVS数据库,该数据库可用于识别客户。据安全专家 Jeremiah Fowler 称,该数据库大小超过 200GB,包含超过 10 亿条记录。该数据库包含在 CVS.com 和 CVSHealth.com 上对药物和 Covid-19 疫苗以及其他项目的大量搜索。
但令人惊讶的是,标记为“生产”的数据库还包含大量电子邮件地址。
“CVS Health 采取了快速而专业的行动来保护数据,他们的信息安全团队的一名成员在第二天联系了我并确认了我的发现,并且这些数据确实是他们的,”Fowler指出。
CVS 告诉《福布斯》,该数据库由第三方供应商管理,并在 Fowler 标记泄漏后迅速下架。
不间断的日志记录
福勒在仔细阅读数据库以获取个人身份信息时,注意到了所有流行电子邮件服务提供商的电子邮件地址。
不过,大多数情况下,数据库包含的记录表明访问者搜索了一系列项目。
在与 CVS 的交流中,Fowler 了解到数据库是输入到搜索栏中的查询的转储。由于大多数电子邮件地址是在移动设备上输入的,他认为该应用程序的用户界面误导用户在搜索栏中输入他们的电子邮件地址,以为他们正在登录他们的帐户。
Fowler 认为,无意中收集的电子邮件地址凸显了不断记录活动的风险。
“我向 CVS 建议,将来他们应该阻止任何与电子邮件地址模式或域名匹配的搜索被执行或记录。这有助于避免收集或存储不需要的数据,”福勒建议道。
标签: CVS