賽博新聞調查小組發現了一個不安全、可公開訪問的Kibana ElasticSearch資料庫儀錶盤,其中包含法國軟體公司Apodis Pharma的機密數據。
Apodis Pharma是一家為藥房、醫療機構、製藥實驗室和醫療保險公司提供數字供應鏈管理平台和其他軟體解決方案的公司。
製藥公司發現的藥品銷售數據,包括藥品銷售數據倉庫的詳細信息,包括藥品銷售數據。
11月17日,Apodis製藥公司關閉了該資料庫,公眾無法再訪問該資料庫。
資料庫里有什麼?
不安全的Apodis Pharma ElasticSearch資料庫包含七個唯一索引,其中包括:
機密藥品裝運數據、裝運儲存狀態、賣方或分銷商提取貨物的準確時間和地點以及裝運藥品數量的檔案。
由Apodis醫藥分銷平台提供服務的25000多個合作夥伴和客戶組織,如製藥實驗室和藥房。
儲存在Apodis製藥客戶倉庫中的兩個產品檔案,分別包含17324382個條目和32960114個條目。檔案包括產品數據,如產品數量和ID,以及倉庫數據。
機密產品銷售數據檔案,包含17556928個季度條目,包括銷售日期、地點、價格和Apodis製藥客戶(如製藥實驗室和藥房)之間銷售的數量等信息。
一個包含4436個條目的用戶數據檔案,包括看起來像是Apodis製藥公司客戶、合作夥伴和員工的全名。
消費者和客戶數據可視化和分析,包括消費者性別統計,以及可能保密的客戶銷售和倉庫庫存圖表。
在全球範圍內,將機密的客戶和患者數據存儲在可公開訪問的伺服器上,而沒有任何類型的身份驗證過程,這是非常危險的,尤其是對於與製藥相關的組織來說。
誰有權訪問資料庫?
在撰寫本報告時,尚不清楚誰有權訪問公開的Apodis製藥資料庫。
然而,該資料庫已經在至少一個流行的物聯網搜索引擎上建立了索引,這意味著幾乎毫無疑問,數據已經被外部各方出於潛在的惡意目的訪問和下載。
Apodis製藥公司的泄漏有什麼影響?
未經授權訪問該資料庫的惡意行為體不僅會給Apodis製藥公司的客戶造成巨大損失,而且會給法國各地數不清的毫無戒心的患者造成巨大損失。
攻擊者可能會泄露機密信息,嚴重損害對該公司的信任,或通過劫持資料庫並將其扣為人質來勒索Apodis Pharma及其客戶。
意圖破壞法國藥品供應鏈的惡意行為體可能會幹預客戶和患者的姓名、價格、地址和產品ID,從而在25000多個實驗室、倉庫中造成廣泛的混亂、混淆和(潛在的)藥品短缺,以及法國各地的藥店。
入侵者可以下載資料庫並將其出售給Apodis製藥公司客戶的競爭對手,後者將能夠根據資料庫中發現的機密信息做出商業決策。
「不幸的是,像這樣的伺服器端數據泄漏現在仍然很常見。雖然一些公司可能認為,讓他們的Kibana儀錶盤對公眾開放沒什麼大不了的,但1.7TB的信息對網路犯罪分子來說是一個非常誘人的目標。惡意行為體會趁機竊取或勒索如此大量的公司數據。在注意到一個錯誤配置後,他們可以開始調查公司的其他防禦措施,尋找其他更有利可圖的盲點,這可能會造成比最初泄漏更嚴重的損害。這就是為什麼所有組織——從小企業到最大的跨國公司——都應該確保在一切為時已晚之前加強他們的網路防禦。」
【參考來源:securityaffairs.co】
