10 亿个网站记录暴露在 CVS 数据泄露中——但这就是为什么你不应该担心

用户访问由连锁药店 CVS 运营的网站生成的超过 10 亿条记录在未受保护的数据库中在线公开——但现在不要惊慌。

1,148,327,940 个数据库条目,总计 204 GB 的数据,包括用户日志,即网站保留的有关访问者的数据类型。 这些项目中的大多数都很乏味——“添加到购物车、配置、仪表板、索引模式、更多改进、订购、从购物车中删除、搜索、服务器”,正如研究人员 Jeremiah Fowler 在今天的 WebsitePlanet 网站上的一篇博客文章中所述( 6 月 16 日)。

TurboTax 帐户被黑了——现在该怎么办最好的身份盗窃保护服务加: Apple Watch 7 可能无法进行血糖监测

还有一些稍微敏感的信息,例如随机生成的用户 ID 和会话 ID,以及访问者是通过智能手机还是台式计算机访问网站。 数据还显示了人们在各种 CVS 运行的网站上搜索的内容。

您不应该能够将用户 ID 与任何特定个人联系起来,而且 CVS 网站似乎已设置好,因此不会发生这种情况。

不幸的是,该数据库还包含许多不应该存在的电子邮件地址。 似乎有些用户在 CVS 网站的搜索栏中输入了自己的电子邮件地址,尤其是当他们通过手机访问这些网站时。

“在查看 CVS 网站的移动版本时,有一种可能的理论是,访问者可能认为他们正在登录他们的帐户,但实际上是在搜索栏中输入了他们的电子邮件地址,”福勒在他的报告中写道。

“这可以解释为什么会有这么多电子邮件地址最终出现在一个并非旨在识别访问者身份的产品搜索数据库中。”

电子邮件地址可用于跟踪人员

由于该数据库可供 Fowler 和他的研究人员使用的时间很短,他们无法看到总共暴露了多少电子邮件地址。

由于其中许多电子邮件地址包含部分或大部分人名,因此可以将这些电子邮件地址与用户 ID 进行匹配,然后查看这些人在 CVS 网站上搜索和购买的内容。 数据库中不包含信用卡或其他财务信息。

垃圾邮件发送者和诈骗者也可能使用这些电子邮件地址来锁定目标用户,尽管目前尚不清楚该数据库在网上未受保护多久或是否有人从中窃取了数据。

3月21日,WebsitePlanet研究团队的Fowler和他的同事们在发现数据库的当天通知了CVS母公司CVS Health,CVS Health在同一天锁定了该数据库。

CVS Health 告诉 Fowler,该数据库是由一家未具名的第三方供应商运行的。

“我们能够联系到我们的供应商,他们立即采取行动删除了数据库,”Fowler 引用 CVS Health 的话说。 “保护我们客户和我们公司的私人信息是重中之重,需要注意的是,该数据库不包含我们客户、会员或患者的任何个人信息。”

CVS 不仅仅是药店

CVS 不仅仅是始于新英格兰并在过去几十年中遍布美国的零售药店。 母公司 CVS Health 还拥有并经营 CVS Caremark 处方药管理公司,您自己的公司可以使用该公司来履行其健康计划下的处方。

如果这还不够大,CVS Health 还在 2018 年收购了拥有 200 年历史的保险巨头 Aetna。该公司现在在全球排名第四。 财富 500 强 美国收入最大的公司名单,仅次于沃尔玛、亚马逊和苹果。

然而,这似乎不是 CVS Health 的错,正如 Fowler 在他的博客文章中所说。

“只有人为错误才能导致公开暴露数据库的错误配置和在搜索栏中输入自己的电子邮件地址的网站访问者,”福勒写道。

“我们并不暗示 CVS Health、他们的承包商或供应商有任何不当行为。我们也不暗示客户、会员、患者或网站访问者处于危险之中。这里表达的理论是基于这些数据怎样可能的假设可能性用过的。”

今日最佳 IdentityForce UltraSecure+Credit 优惠 25%身份力量UltraSecure+ 信用17.99 美元/月身份力量身份力量超安全$9.99/月身份力量