ABD’li İlaç Şirketi CVS Health’ın Bir Milyardan Fazla Verisi (204 GB) Çalındı

Doğru şekilde düzenlenmeyen bulut hizmeti güvenliğine son örnek, CVS Health adlı şirketinin veri tabanının siber saldırıya uğraması olarak belirdi. Güvenlik araştırmacıları yaşanan sızıntıyı hafta içinde çevrimiçi ortamda karşılarına çıkan ve şifre ile korunmayan bir CVS Health veri tabanı sayesinde tespit etti.

Veri tabanının incelenmesinin ardından CVS Pharmacy ve Aetna gibi şirketleri bünyesinde barındıran ABD’li sağlık ve ilaç şirketi CVS Health’a ait bir milyarın üzerinde verinin bulunduğu anlaşıldı.

204 GB dosya boyutuna sahip veri tabanının ziyaretçi kimlikleri, muayene bilgileri, cihaz erişim bilgileri gibi hassas veriler içerdiği kaydedildi. Hatta ziyaretçilerin şirket alan adlarına erişmek için iPhone mu Android mi kullandığı ve sistemlere giriş sürecinin nasıl çalıştığı detayının da yer aldığı belirtildi.

Veriler arasında aynı zamanda Covid-19 aşıları ve CVS Health ile CVS.com bağlantılı CVS ürünlerine ait bilgilerin yer aldığı görüldü. Araştırmacılar, ele geçirilmesi halinde verilerin siber suçlular tarafından eşzamanlı ve çok sayıda oltalama saldırısında kullanılabileceği uyarısında bulunuyor.

CVS Health, veri tabanının adı açıklanmayan bir iş ortağı tarafından yönetildiğini ve kamuya erişimin engellendiğini açıkladı. Şirketten yapılan açıklamada, bağımsız bir güvenlik araştırmacısının Mart ayında yaptığı uyarıda bağlantılı kimlik bilgilerinin gizli tutulduğu bir veri tabanının kamuya açık olduğunun anlaşıldığını ve hemen müdahalede bulunduklarını belirtti. CVS Health, bir üçüncü parti tarafından yönetilen veri tabanında müşteriler, üyeler veya hastalar hakkında kişisel bilgi bulunmadığını not düştü.

Şirket, iş ortakları ile sunucuya erişimin engellenmesini sağladıklarını ve aynı durumun tekrarlanmaması için gerekli önlemlerin alındığını ifade ediyor.