4006-555-883

法国药品分销平台Apodis Pharma泄露1.7+TB机密数据

发布时间:2020-12-04 14:17:00

  赛博新闻调查小组发现了一个不安全、可公开访问的Kibana ElasticSearch数据库仪表盘,其中包含法国软件公司Apodis Pharma的机密数据。

  Apodis Pharma是一家为药房、医疗机构、制药实验室和医疗保险公司提供数字供应链管理平台和其他软件解决方案的公司。

  制药公司发现的药品销售数据,包括药品销售数据仓库的详细信息,包括药品销售数据。

  11月17日,Apodis制药公司关闭了该数据库,公众无法再访问该数据库。



  数据库里有什么?

  不安全的Apodis Pharma ElasticSearch数据库包含七个唯一索引,其中包括:

  1.   机密药品装运数据、装运储存状态、卖方或分销商提取货物的准确时间和地点以及装运药品数量的档案。
  2.   由Apodis医药分销平台提供服务的25000多个合作伙伴和客户组织,如制药实验室和药房。
  3.   储存在Apodis制药客户仓库中的两个产品档案,分别包含17324382个条目和32960114个条目。档案包括产品数据,如产品数量和ID,以及仓库数据。
  4.   机密产品销售数据档案,包含17556928个季度条目,包括销售日期、地点、价格和Apodis制药客户(如制药实验室和药房)之间销售的数量等信息。
  5.   一个包含4436个条目的用户数据档案,包括看起来像是Apodis制药公司客户、合作伙伴和员工的全名。
  6.   消费者和客户数据可视化和分析,包括消费者性别统计,以及可能保密的客户销售和仓库库存图表。

  在全球范围内,将机密的客户和患者数据存储在可公开访问的服务器上,而没有任何类型的身份验证过程,这是非常危险的,尤其是对于与制药相关的组织来说。

  谁有权访问数据库?

  在撰写本报告时,尚不清楚谁有权访问公开的Apodis制药数据库。

  然而,该数据库已经在至少一个流行的物联网搜索引擎上建立了索引,这意味着几乎毫无疑问,数据已经被外部各方出于潜在的恶意目的访问和下载。

  Apodis制药公司的泄漏有什么影响?

  未经授权访问该数据库的恶意行为体不仅会给Apodis制药公司的客户造成巨大损失,而且会给法国各地数不清的毫无戒心的患者造成巨大损失。

  攻击者可能会泄露机密信息,严重损害对该公司的信任,或通过劫持数据库并将其扣为人质来勒索Apodis Pharma及其客户。

  意图破坏法国药品供应链的恶意行为体可能会干预客户和患者的姓名、价格、地址和产品ID,从而在25000多个实验室、仓库中造成广泛的混乱、混淆和(潜在的)药品短缺,以及法国各地的药店。

  入侵者可以下载数据库并将其出售给Apodis制药公司客户的竞争对手,后者将能够根据数据库中发现的机密信息做出商业决策。

  “不幸的是,像这样的服务器端数据泄漏现在仍然很常见。虽然一些公司可能认为,让他们的Kibana仪表盘对公众开放没什么大不了的,但1.7TB的信息对网络犯罪分子来说是一个非常诱人的目标。恶意行为体会趁机窃取或勒索如此大量的公司数据。在注意到一个错误配置后,他们可以开始调查公司的其他防御措施,寻找其他更有利可图的盲点,这可能会造成比最初泄漏更严重的损害。这就是为什么所有组织——从小企业到最大的跨国公司——都应该确保在一切为时已晚之前加强他们的网络防御。”

  【参考来源:securityaffairs.co】

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
政府机构频遭黑客攻击,国密改造亟需加快推进
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
4·15国家安全教育日 | 网络安全,你我共建
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显