Zabezpečení záznamů o vyhledávání - příklad z praxe

26.06.2023

Dne 21. března 2021 objevil výzkumný tým WebsitePlanet ve spolupráci s bezpečnostním výzkumníkem Jeremiahem Fowlerem databázi nechráněnou heslem, která obsahovala více než 1 miliardu záznamů. Po dalším zkoumání bylo zřejmé, že data jsou spojena se společností CVS Health. Společnosti CVS Health bylo zasláno oznámení o odpovědném zveřejnění a ještě téhož dne byl omezen přístup veřejnosti. Co databáze obsahovala:

Celková velikost: 204,0 GB

Celkový počet záznamů: 1,148,327,940

Databáze obsahovala následující soubory:

Indexy: Souhrnné údaje a údaje o událostech. Typy: přidat do košíku, konfigurace, přístrojová deska, index-vzor, další upřesnění, objednávka, odebrat z košíku, vyhledávání, server.

Produkční záznamy, které vystavují ID návštěvníka, ID relace, informace o zařízení (tj. iPhone, Android, iPad atd.).

Vzorkovací vyhledávací dotaz odhalil e-maily, které by mohly být cílem phishingového útoku pro sociální inženýrství nebo potenciálně použity ke křížovému odkazu na jiné akce.

Soubory poskytly jasnou představu o nastavení konfigurace, o tom, kde jsou data uložena, a plán fungování služby protokolování z backendu.


Rychlá a precizní reakce je důležitá

Společnost CVS Health jednala rychle a profesionálně, aby data zabezpečila, a následující den WebsitePlanet kontaktoval člen týmu pro bezpečnost informací a potvrdil zjištění a to, že data jsou skutečně jejich. Bylo sděleno, že se jedná o dodavatele nebo prodejce, který jménem společnosti CVS Health spravuje tento soubor dat, ale bylo důvěrné, kdo je tímto prodejcem. Odhalené záznamy byly označeny jako "produkční". Při vyhledávání potenciálně identifikovatelných informací jsme provedli několik vyhledávacích dotazů na běžné e-mailové přípony, jako jsou Gmail, Hotmail a Yahoo. Pro každý dotaz byly v rámci souboru dat nalezeny výsledky, které naznačovaly, že záznamy obsahují e-mailové adresy. Je dobře známo, že mnoho osobních e-mailových adres je formátováno pomocí částí nebo celého jména uživatele. Kromě toho WebsitePlanet byl schopen identifikovat malý vzorek osob prostým vyhledáním veřejně vystavené e-mailové adresy ve službě Google. Záznamy obsahovaly také "ID návštěvníka" a "ID relace". Bylo nalezeno několik záznamů, které označovaly návštěvníky hledající řadu položek včetně léků, vakcín Covid 19 a dalších produktů CVS. Hypoteticky by bylo možné přiřadit ID relace k tomu, co během této relace hledali nebo přidali do nákupního košíku, a poté se pokusit identifikovat zákazníka pomocí vystavených e-mailů. Podle zástupce společnosti CVS tyto e-maily nepocházely ze záznamů zákaznických účtů společnosti CVS a do vyhledávacího panelu je zadali sami návštěvníci. Vyhledávací panel zachycuje a zaznamenává vše, co je zadáno do vyhledávací funkce webových stránek, a tyto záznamy byly uloženy jako soubory protokolu.


Lidská chyba

Při prohlížení mobilní verze webu CVS se nabízí možnost, že se návštěvníci mohli domnívat, že se přihlašují ke svému účtu, ale ve skutečnosti zadávali svou e-mailovou adresu do vyhledávacího řádku. Vyhledávání bylo formátováno jako parametr "typu události" a bylo nastaveno na "vyhledávání" a e-mailové adresy jsou hodnoty pro parametr s názvem "dotaz". To by mohlo vysvětlovat, jak se tolik e-mailových adres ocitlo v databázi vyhledávání produktů, která nebyla určena k identifikaci návštěvníka. Záznamy také ukazují, jaké zařízení bylo použito, a většina vyhledávání byla z telefonů a mobilních zařízení, ale byly tam i stolní počítače. Společnost CVS Health poskytla následující prohlášení: "Ještě jednou vám děkujeme, že jste nás v této věci kontaktovali. Podařilo se nám kontaktovat našeho dodavatele a ten okamžitě přijal opatření k odstranění databáze. Ochrana soukromých informací našich zákazníků a naší společnosti je vysokou prioritou a je důležité poznamenat, že databáze neobsahovala žádné osobní údaje našich zákazníků, členů nebo pacientů."

Zaznamenávání aktivit: Nezbytné zlo

Sledování veškeré aktivity z webových stránek nebo platformy elektronického obchodu pomáhá získat cenné informace o návštěvnících a zákaznících. Toto zaznamenávání a sledování může často obsahovat metadata nebo chybové protokoly, které neúmyslně odhalují citlivější záznamy. V tomto případě se jednalo o protokoly vyhledávání všeho, co návštěvníci vyhledávali, a obsahovaly odkazy na CVS Health i CVS.com. To by poskytlo cenné analytické údaje, které by umožnily zjistit, co zákazníci hledají a zda nacházejí požadované produkty. Systém záznamů používal smíšené alfanumerické ID návštěvníka, které zřejmě zajišťovalo, že nakupující byli anonymní. Je třeba poznamenat, že e-mailové adresy pro profil návštěvníka nebo nákupní košík nebyly do této databáze shromažďovány. Bohužel za chybnou konfiguraci, která veřejně odhalila databázi, i za návštěvníky webu, kteří do vyhledávacího řádku zadali vlastní e-mailové adresy, může pouze lidská chyba. WebsitePlanet doporučil společnosti CVS, aby v budoucnu zablokovala provádění nebo zaznamenávání všech vyhledávání, která odpovídají vzorům e-mailových adres nebo názvům domén. To by mohlo pomoci zabránit shromažďování nebo ukládání nežádoucích údajů. Samotné ID návštěvníka a ID relace neobsahovaly žádné identifikovatelné údaje a pouze v kombinaci s e-mailovými adresami mohla existovat vzdálená možnost identifikace uživatele. Teoreticky by vyhledávání stále vytvářelo "ID relace", které by se během dané návštěvy nemuselo měnit, a možnost propojit daný e-mail s tímto "ID relace". Toto odhalení mohlo potenciálně identifikovat neznámý počet relací, kdy uživatelé přidali své e-maily do vyhledávacího řádku a poté pokračovali v provádění dalších akcí, jako je historie vyhledávání a produkty přidané nebo odebrané z jejich online nákupního košíku. ID relací s e-maily jedinečná a časová razítka nebyla po sobě jdoucí, což by naznačovalo, že se pravděpodobně nejednalo o automatizované vyhledávací dotazy. 

Včasnost a důslednost

Vždy se jedná o závod s časem, který pomáhá zabezpečit odhalená data dříve, než budou zneužita nebo vymazána ransomwarem. Vzhledem k naléhavosti, kterou WebsitePlanet věnoval zodpovědnému nahlášení tohoto odhalení, a k tomu, jak rychle dodavatel systému CVS omezil veřejný přístup, jsme nemohli zkontrolovat všech 1,1 miliardy záznamů. Mohli jsme přezkoumat pouze omezený vzorek záznamů, nikoli celý soubor dat. Při odhalení jakékoli databáze existuje možnost zobrazit informace o konfiguraci, aplikacích, softwaru, operačních systémech a sestavení, které by mohly identifikovat potenciální zranitelnosti, pokud by byly neopravené nebo zastaralé. Kybernetičtí zločinci i některé státy používají složité metody ke shromažďování a zneužívání nalezených dat. Často používají stejné metody jako legitimní bezpečnostní výzkumníci k identifikaci veřejně vystavených dat. Zatímco my denně pracujeme na ochraně objevených dat, existují kybernetičtí zločinci, kteří chtějí zneužít.

Zdroj: Report: CVS Health Exposed Search Records Online (websiteplanet.com)