Keamanan cyber (terbuka di tab baru) peneliti telah kebetulan pada tanpa jaminan basis data (terbuka di tab baru) CVS raksasa layanan kesehatan dan ritel yang dapat digunakan untuk mengidentifikasi pelanggan.
Menurut pakar keamanan Jeremiah Fowler, database berukuran lebih dari 200GB dan berisi lebih dari satu miliar catatan. Basis data berisi sejumlah besar pencarian di CVS.com dan CVSHealth.com untuk obat-obatan dan vaksin Covid-19, serta item lainnya.
Namun yang mengejutkan, basis data yang ditandai sebagai “produksi” juga menampung sejumlah besar alamat email.
“CVS Health bertindak cepat dan profesional untuk mengamankan data dan anggota Tim Keamanan Informasi mereka menghubungi saya keesokan harinya dan mengonfirmasi temuan saya dan bahwa data tersebut memang milik mereka,” Fowler dicatat (terbuka di tab baru).
CVS diberitahu Forbes (terbuka di tab baru) bahwa database tersebut dirawat oleh vendor pihak ketiga, dan dengan cepat dihapus setelah Fowler menandai kebocoran tersebut.
Pencatatan yang tak henti-hentinya
Fowler memperhatikan alamat email dari semua yang populer penyedia layanan email (terbuka di tab baru) saat membaca dengan teliti database untuk informasi pribadi.
Namun sebagian besar, database berisi catatan yang menunjukkan pengunjung mencari berbagai item.
Selama komunikasinya dengan CVS, Fowler mengetahui bahwa database adalah tumpukan kueri yang dimasukkan ke bilah pencarian. Karena sebagian besar alamat email dimasukkan di perangkat seluler, dia memahami bahwa antarmuka pengguna aplikasi menyesatkan pengguna untuk memasukkan alamat email mereka di bilah pencarian karena mengira mereka masuk ke akun mereka.
Fowler yakin pengumpulan alamat email yang tidak disengaja menyoroti risiko pencatatan aktivitas yang terus-menerus.
“Saya merekomendasikan kepada CVS bahwa di masa mendatang mereka harus memblokir semua pencarian yang cocok dengan pola alamat email atau nama domain agar tidak dieksekusi atau dicatat. Ini dapat membantu menghindari pengumpulan atau penyimpanan data yang tidak diinginkan, ”saran Fowler.
