美健康照护商CVS Health外泄逾10亿笔营运资料

美国健康照护集团CVS Health一个包含消费者及营运资料的数据库，被安全研究人员发现曝露于网络上，数量超过10亿笔。

研究公司WebsitePlanet与研究人员Jeremiah Fowler在今年3月21日，发现到一个包含10亿笔资料的数据库未设密码。经过调查，证实属于CVS Health。

CVS Health为美国健康照护事业集团，下有全美最大药妆通路连锁CVS药局、Target药局、健康保险公司安泰（Aetna）、及健康管理服务Caremark、Omnicare等品牌。

这个曝光的数据库内有204GB，总数达11.5亿笔。以资料型态来看，包含事件及集结资料索引。线上商店资料涵括消费者加入或从购物车移除品项、搜寻关键字、进阶搜寻、订单资料及储存的服务器、组态、仪表板、index-pattern等。名为“production”的资料集中包含了消费者资料，例如访客ID、连线ID、装置型态（如iPhone、iPad或Android装置）。

研究人员指出，外泄的档案可让看到资料的人清楚了解组态设定、资料储存地点，以及后端日志服务运作状态。

而“production”资料集外泄的消费者资料，包括许多gmail、yahoo及Hotmail电子邮件信箱。利用这些信箱中包含的消费者姓名，研究人员配合在网络上搜寻已外泄的电子邮件，即可辨识出部分消费者身份，这些资讯也可用于钓鱼攻击或用于查询消费者其他活动。而利用访客或连线ID，理论上也可以比对出消费者搜寻或放入购物车的商品，再以Email辨识出消费者身份。

image:WebsitePlanet

image:WebsitePlanet

研究人员发现后立即通知CVS Health，CVS当天就做出处置，关闭公开存取的管道。

不过CVS Health解释，流出的消费者电子邮件并非外泄自CVS客户账号系统的资料，而是消费者误输入浏览器的搜寻列而成为日志记录的一部分。

研究人员表示未下载或存取所有外泄的资料，也未说明这些资料可追溯的建立时间点。

不过这类因组态错误而使大批用户资料曝光事件屡见不鲜。从电信业者、军方、保险公司、美国选务单位，都曾发生过数十万到数百万用户或公民资料外泄事件。