赛博新闻调查小组发现了一个不安全、可公开访问的Kibana ElasticSearch数据库仪表盘,其中包含法国软件公司Apodis Pharma的机密数据。
Apodis Pharma是一家为药房、医疗机构、制药实验室和医疗保险公司提供数字供应链管理平台和其他软件解决方案的公司。
制药公司发现的药品销售数据,包括药品销售数据仓库的详细信息,包括药品销售数据。
11月17日,Apodis制药公司关闭了该数据库,公众无法再访问该数据库。
数据库里有什么?
不安全的Apodis Pharma ElasticSearch数据库包含七个唯一索引,其中包括:
- 机密药品装运数据、装运储存状态、卖方或分销商提取货物的准确时间和地点以及装运药品数量的档案。
- 由Apodis医药分销平台提供服务的25000多个合作伙伴和客户组织,如制药实验室和药房。
- 储存在Apodis制药客户仓库中的两个产品档案,分别包含17324382个条目和32960114个条目。档案包括产品数据,如产品数量和ID,以及仓库数据。
- 机密产品销售数据档案,包含17556928个季度条目,包括销售日期、地点、价格和Apodis制药客户(如制药实验室和药房)之间销售的数量等信息。
- 一个包含4436个条目的用户数据档案,包括看起来像是Apodis制药公司客户、合作伙伴和员工的全名。
- 消费者和客户数据可视化和分析,包括消费者性别统计,以及可能保密的客户销售和仓库库存图表。
在全球范围内,将机密的客户和患者数据存储在可公开访问的服务器上,而没有任何类型的身份验证过程,这是非常危险的,尤其是对于与制药相关的组织来说。
谁有权访问数据库?
在撰写本报告时,尚不清楚谁有权访问公开的Apodis制药数据库。
然而,该数据库已经在至少一个流行的物联网搜索引擎上建立了索引,这意味着几乎毫无疑问,数据已经被外部各方出于潜在的恶意目的访问和下载。
Apodis制药公司的泄漏有什么影响?
未经授权访问该数据库的恶意行为体不仅会给Apodis制药公司的客户造成巨大损失,而且会给法国各地数不清的毫无戒心的患者造成巨大损失。
攻击者可能会泄露机密信息,严重损害对该公司的信任,或通过劫持数据库并将其扣为人质来勒索Apodis Pharma及其客户。
意图破坏法国药品供应链的恶意行为体可能会干预客户和患者的姓名、价格、地址和产品ID,从而在25000多个实验室、仓库中造成广泛的混乱、混淆和(潜在的)药品短缺,以及法国各地的药店。
入侵者可以下载数据库并将其出售给Apodis制药公司客户的竞争对手,后者将能够根据数据库中发现的机密信息做出商业决策。
“不幸的是,像这样的服务器端数据泄漏现在仍然很常见。虽然一些公司可能认为,让他们的Kibana仪表盘对公众开放没什么大不了的,但1.7TB的信息对网络犯罪分子来说是一个非常诱人的目标。恶意行为体会趁机窃取或勒索如此大量的公司数据。在注意到一个错误配置后,他们可以开始调查公司的其他防御措施,寻找其他更有利可图的盲点,这可能会造成比最初泄漏更严重的损害。这就是为什么所有组织——从小企业到最大的跨国公司——都应该确保在一切为时已晚之前加强他们的网络防御。”
【参考来源:securityaffairs.co】
