Datalekkasje

Milliarder av kundeopplysninger var tilgjengelige på internett

Nettbutikkgiganter med slapp sikkerhet.

Det skal ikke ha vært betalingsinformasjon i dataene som uvedkommende har fått tilgang til i de to tilfellene som omtales i saken. Men mangelfull sikkerhet har det vært likevel.
Det skal ikke ha vært betalingsinformasjon i dataene som uvedkommende har fått tilgang til i de to tilfellene som omtales i saken. Men mangelfull sikkerhet har det vært likevel. (Foto: Pressmaster/Colourbox)

Nettbutikkgiganter med slapp sikkerhet.

Det florerer med dårlig sikrede personopplysninger på internett. Ofte er det store og antatt seriøse virksomheter som er synderne. 

Onsdag denne uken ble det kjent at en underleverandør av den amerikanske helsegiganten CVS Health, som kanskje er mest kjent for apotekkjeden CVS Pharmacy, har latt en database for logging av kundeatferd ligge åpent tilgjengelig på internett. 

Databasen inneholder opplysning hvilke aktiviteter den enkelte kunde har gjort på ulike CVS-nettsteder. Dette inkluderer blant annet hvilke apotekvarer de har lagt i handlekurven og hva de har søkt etter. 

Ikke passordbeskyttet

Databasen inneholder mer enn 1 milliard slike oppføringer, til sammen 204 gigabyte med data. Databasen var ikke passordbeskyttet. 

Den åpent tilgjengelige databasen ble oppdaget av sikkerhetsforskere hos Website Planet i mars i år. Saken er omtalt av ZDNet

CVS-kundene er ikke direkte identifiserbare gjennom dataene i databasen. De er identifisert gjennom en alfanumerisk ID. Databasen inneholder likevel epostadresser. Disse stammer trolig fra søkefeltet i nettbutikkene og skyldes trolig at kunder ved en feil har tastet inn sin egen epostadresse i søkefeltet. Disse kan potensielt brukes til å identifisere kunder, eventuelt utnyttes i phishingangrep, skriver Jeremiah Fowler, en sikkerhetsforsker som har samarbeidet med Website Planet i denne saken. 

CVS Health skal ha reagert raskt og profesjonelt da selskapet ble varslet om den usikrede databasen. Det er ikke kjent om noen faktisk har utnyttet disse dataene. 

Les også

Lekkende Alibaba-butikk

Et annet tilfelle dårlig sikrede kundedata har funnet sted i Kina. En kinesisk programvareutvikler har i løpet av åtte måneder skrapt kundedata fra Taobao-nettbutikken til Alibaba-gruppen før dette ble oppdaget. Da hadde han samlet over 1,1 milliarder biter med kundedata, inkludert ID-er, mobilnumre og kommentarer. Også i Kina må abonnenter identifisere seg før å få et mobilabonnement, så mobilnumre anses som personidentifiserende informasjon.

Ifølge Wall Street Journal startet utvikleren skrapingen av Taobao i november 2019. Dette går fram av dom etter rettssak som skal ha funnet sted i Henan-provinsen i mai i år. Både utviklere og hans arbeidsgiver skal ha blitt dømt til mer enn tre års fengsel, i tillegg til bøter.

Selskapet som utvikleren jobbet for, Liuyang Taichuang Network Technology, skal ha brukt mobilnumrene i forbindelse med kampanjer på vegne av selgere på Taobao. De innsamlede dataene skal ikke ha blitt solgt videre. 

Via programmerings-grensesnitt?

Wall Street Journal skriver ingenting om hvordan utvikleren fikk tak i de aktuelle opplysningene, men det går fram av artikkelen at de ikke var offentlig tilgjengelige på Taobao-nettstedet.

Kinesiske 163.com antyder at utvikleren, som navngis med etternavnet Lu, greide å omgå nettbutikkplattformens «risikokontrollsystem». Trolig dreier det seg tilgang via et API (programmeringsgrensesnitt). I perioder skal Lu har gjort rundt 5 millioner daglige spørringer via dette.

163.com opplyser også at Liuyang Taichuang Network Technology skal ha tjent drøyt 340.000 yuan, rundt 450.000 kroner, på å bruke de ulovlig innsamlede dataene. 

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen