在另一个影响安全的云服务配置错误的例子中，超过10亿条属于CVS Health的记录被暴露在网上。 

周四，WebsitePlanet与研究人员Jeremiah Fowler一起公布了一项发现https://www.websiteplanet.com/blog/cvs-health-leak-report/属于CVS Health的“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>在线数据库。该数据库没有密码保护，也没有任何形式的身份验证来防止未经授权的进入。

在对数据库进行检查后，研究小组发现超过10亿条记录与这家美国医疗和制药巨头有关，后者拥有包括CVS Pharmacy和安泰在内的品牌。 

数据库大小为204GB，包含事件和配置数据，包括访客ID的生产记录、会话ID、设备访问信息——比如公司域名的访客是使用iPhone还是Android手机——以及团队所称的日志系统如何从后端运行的“蓝图”。 

公开的搜索记录还包括对药物、COVID-19疫苗和各种CVS产品的查询，引用了CVS Health和CVS.com

“假设，可以将会话ID与他们在会话期间搜索或添加到购物车的内容进行匹配，然后尝试使用暴露的电子邮件识别客户，”报告指出。 

研究人员说，这种不安全的数据库可以用于有针对性的网络钓鱼，方法是交叉引用系统中记录的一些电子邮件——可能是通过意外提交搜索栏——或者交叉引用其他行为。竞争对手也可能对系统中生成和存储的搜索查询数据感兴趣。 

WebsitePlanet向CVS Health发送了一份私人披露通知，并很快收到了一份回复，确认数据集属于该公司。 

CVS Health表示，该数据库是由一家未透露姓名的供应商代表公司管理的，披露后公众访问受到限制。 

“今年3月，一位安全研究人员通知我们一个可公开访问的数据库，其中包含不可识别的CVS Health元数据，”CVS Health告诉ZDNet我们立即调查并确定由第三方供应商托管的数据库不包含我们的客户、成员或患者的任何个人信息。我们与供应商合作，迅速关闭了数据库。我们已经与供应商解决了这个问题，以防止再次发生，我们感谢通知我们此事的研究人员。”

更新15.49英国夏令时：澄清了超过10亿条记录，而不是数十亿条记录ZDNet对此错误表示遗憾。 

有窍门吗？通过WhatsApp |信号+447713 025 499或通过Keybase:charlie0安全联系。

2021年黄金时段最佳交易：Windows 10笔记本电脑

sec与first american解决抵押贷款数据的大规模泄露问题，通过注册披露，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof