Un reporte de seguridad publicado por los investigadores de WebsitePlanet señala el hallazgo de una base de datos sin protección y que almacena alrededor de mil millones de registros (204 GB de información) recolectados por la firma estadounidense de servicios médicos CVS Health. La organización afectada fue debidamente notificada y el acceso a la información comprometida fue clausurado de inmediato.
La información comprometida durante este incidente incluye:
- Registros únicos compuestos por ID de visitante, ID de la sesión e ID del dispositivo
- Consultas de búsqueda y listas de correos electrónicos
- Detalles de la configuración de la base de datos, lo que permitía a los usuarios identificar dónde y cómo se almacenan los datos, incluyendo un plano de cómo funciona el servicio de registro desde el backend
Esta tarde, la compañía confirmó que la información sí fue recolectada por ellos, aunque la base de datos era operada por un tercero contratista cuya identidad no fue revelada para no entorpecer la investigación.
Los registros expuestos fueron etiquetados como “Producción”. Al buscar información potencialmente identificable, los expertos realizaron varias consultas de búsqueda para extensiones de correo electrónico comunes como Gmail o Hotmail, encontrando amplios resultados para todas las consultas realizadas.
Como se menciona anteriormente, estos registros también contenían una ID de visitante y una ID de sesión. Estos datos indican las búsquedas de los visitantes a las plataformas de CVS Health. Los expertos de WebsitePlanet aseguran que estos registros, en conjunto con los correos electrónicos expuestos, son más que suficientes para detallar el perfil de miles de usuarios y tratar de identificarlos en otras plataformas.
En un mensaje posterior, la compañía menciona que estos correos electrónicos son ingresados por los propios usuarios que visitan sus sitios web a través de la barra de búsqueda implementada en todos los sitios web de CVS Health.
Después de que el incidente fue confirmado, CVS Health publicó un breve comunicado: “La protección de la privacidad de nuestros clientes es una de nuestras más grandes prioridades, por lo que queremos especificar que este incidente no involucra ninguna clase de información confidencial de nuestros usuarios, pacientes y socios.” La compañía también descarta la filtración de detalles financieros, aunque algunos expertos creen que CVS Health debería ir más allá y ofrecer a los usuarios afectados un plan de protección anti fraude.
Como de costumbre, se recomienda a los usuarios que crean que su información podría haber sido parte de esta filtración que verifiquen esto en plataformas como Have I Been Pwned y tomar las medidas de seguridad necesarias en caso de que sus datos hayan sido expuestos.
Para obtener más información sobre incidentes de hacking, ciberseguridad, ataques de malware y consejos de seguridad, no dude en acceder a las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
