A base de dados foi descoberta por investigadores da WebsitePlanet, sendo que estava acessível a todos sem qualquer tipo de autenticação.

Continha 204GB de dados com 1 bilhão de registos que expunham o ID do visitante, sessão e informação do dispositivo (se era iPhone, Android, iPad, etc). Tinha também registo das pesquisas dos visitantes, que incluía medicamentos, vacinas da COVID19 e outros produtos da CVS Health.

A nível de impacto, qualquer atacante poderia usar este tipo de informação para conduzir ataques de engenharia social ou escalar para outras ações. A empresa reconheceu o problema e diz tratar-se de uma base de dados gerida por uma terceira parte, como é bastante comum nos nossos dias.

Takeaways

- Nunca confiar a gestão de dados num negócio a terceiros

- Avaliar o que existe na Internet relacionado com a empresa

Mais informações: https://www.fiercehealthcare.com/tech/cvs-health-database-leak-leaves-1-billion-user-records-exposed-online