CVS Health의 기록 10억 건 이상, 온라인에 유출돼

 

 

Over a billion records belonging to CVS Health exposed online

 

이번 주, WebsitePlanet과 연구원인 Jeremiah Fowler는 미국 의료 및 제약 대기업인 CVS Health의 보호되지 않은 데이터베이스가 온라인에 노출된 것을 발견했다고 밝혔습니다.

 

해당 데이터베이스는 어떠한 인증 없이도 누구나 접근이 가능했습니다.

 

WebsitePlanet은 아래와 같이 밝혔습니다.

 

“2021년 3월 21일, WebsitePlanet 연구팀은 보안 연구원인 Jeremiah Fowler와 협력해 암호로 보호되어 있지 않은 10억 건 이상의 기록이 포함된 데이터베이스를 발견했습니다. 추가 연구를 통해 데이터가 CVS Health와 관련이 있음이 밝혀졌습니다.”

 

연구원들은 해당 아카이브를 발견한 즉시 CVS Health측에 공개했습니다.

 

204GB에 달하는 데이터베이스는 데이터 총 1,148,327,940건을 포함하고 있었으며 집합체 데이터 및 이벤트 데이터, 방문자 ID, 세션 ID, 기기 정보(아이폰, 안드로이드, 아이폰 등)를 포함한 프로덕션 기록이 포함되어 있었습니다.

 

노출된 기록 중 일부에는 약물, 코로나19 백신, 기타 CVS Health 제품과 관련된 방문자의 질문도 포함되어 있었습니다. 이론적으로, 이 정보를 통해서 고객을 식별하는 것이 가능합니다.

 

“가상 세션 ID를 사용자가 해당 세션에서 검색하거나 장바구니에 추가한 항목과 매칭시키고, 노출된 이메일을 통해 고객을 식별하는 것이 가능할 수 있습니다.”

 

전문가들은 샘플링 검색 쿼리에서 소셜 엔지니어링 공격의 타깃이 되거나 다른 공격에 상호 참조하는데 사용될 수 있는 이메일을 발견했다고 밝혔습니다.

 

 

<이미지 출처 : https://www.websiteplanet.com/blog/cvs-health-leak-report/>

 

 

CVS Health에 따르면, 보호되지 않은 데이터베이스는 이름을 밝히지 않은 타 업체에서 관리한 것으로 나타났습니다.

 

CVS Health는 성명문을 발표해 아래와 같이 밝혔습니다.

 

“문의해 주셔서 다시 한 번 감사드립니다. 업체에 연락했으며, 그들은 해당 데이터베이스를 즉시 제거했습니다. 우리의 최우선 과제는 고객과 회사의 개인정보를 보호하는 것이며, 데이터베이스에는 고객, 회원, 환자의 개인정보가 포함되어 있지 않습니다.”

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/119081/data-breach/cvs-health-data-leak.html

https://www.websiteplanet.com/blog/cvs-health-leak-report/