2min

Tags in dit artikel

De Amerikaanse gezondheidsgigant CVS Health heeft onbedoeld een cloudgebaseerde database met meer dan 1 miljard klantgegevens onbeveiligd open laten staan. Dit ontdekten onlangs securityexperts van WebsitePlanet.

Het gigantische datalek, een via het internet toegankelijke onbeveiligde database met de gegevens van meer dan 1 miljard klanten, van CVS Health werd onlangs ontdekt. WebsitePlanet ontdekte dat de cloudgebaseerde database niet over een wachtwoord beschikte en verder ook geen enkele andere vorm van authenticatie. In de database werden gegevens gevonden over klanten, zoals bezoek-ID’s, sessie-ID’s, device-informatie en e-mailadressen.

Ondanks de afwezigheid van echte gezondheidsinformatie kunnen hackers met de beschikbare informatie veel leed berokkenen. De gegevens waren volgens CVS Health afkomstig van de zoekfunctionaliteit op zijn website. De gezondheidsgigant legt de schuld van het datalek bij een leverancier. Deze leverancier of de hoster van de cloudapplicatie zou na contact met CVS Health de database meteen hebben verwijderd.

Blijvende aandacht voor databases met klantgegevens

Experts zijn blij dat niet echte privé-informatie is gelekt, maar vinden het wel raar dat CVS Health aangeeft dat de data uit de zoekfunctionaliteit op de website afkomstig is. Zij vragen zich af waarom klanten hun e-mailadres in deze zoekfunctie opgeven. Het lek, zo geven zij ook aan, is mogelijk ontstaan door een misconfiguratie.

De securityexperts hameren er dan ook op dat bedrijven er alles aan moeten doen dit soort misconfiguraties te voorkomen en goed te checken dat hun cloudgebaseerde databases met klantgegevens potdicht zitten voor nieuwsgierige ogen.

Tip: Grote bedrijven lekken steeds vaker gevoelige data