Security

Η ασφαλιστική εταιρεία επέβαλε πρόστιμο 3 εκατομμυρίων δολαρίων για έκθεση δεδομένων 650.000 πελατών για δύο χρόνια

By

Marizas Dimitris

On

Σεπ 4, 2023

Η Σουηδική Αρχή για την Προστασία του Απορρήτου (IMY) επέβαλε

πρόστιμο

3 εκατομμυρίων δολαρίων στην ασφαλιστική εταιρεία Trygg-Hansa επειδή αποκάλυψε στην ηλεκτρονική της πύλη ευαίσθητα δεδομένα που ανήκουν σε εκατοντάδες χιλιάδες πελάτες.

Η Trygg-Hansa είναι ασφαλιστής για ιδιώτες, ιδιωτικές εταιρείες και

δημόσιο

υς οργανισμούς, καθώς και εταιρεία παροχής συμβουλών διαχείρισης περιουσιακών στοιχείων και επενδύσεων.

Η IMY ξεκίνησε έρευνα για την εταιρεία αφού έλαβε μια συμβουλή από έναν πελάτη της Moderna Försäkringar (τώρα μέρος της Trygg-Hansa), ο οποίος είχε ανακαλύψει ότι ήταν δυνατή η πρόσβαση στο backend του ασφαλιστή ακολουθώντας συνδέσμους που είναι διαθέσιμοι στις σελίδες προσφορών που αποστέλλονται στους πελάτες.

Αυτά αποστέλλονται σε όλους τους υπάρχοντες ή δυνητικούς πελάτες μέσω SMS ή email, που περιέχουν μια μοναδική διεύθυνση ιστού (URL) σε μια σελίδα προσφοράς στον ιστότοπο της Trygg-Hansa.

Το IMY επιβεβαίωσε ότι η βάση δεδομένων υποστήριξης ήταν προσβάσιμη χωρίς να απαιτείται έλεγχος ταυτότητας και μπορούσαν να περιηγηθούν σε ιδιωτικά έγγραφα από άλλα άτομα τροποποιώντας στη διεύθυνση URL τον αριθμό αναγνωριστικού πελάτη, ο οποίος ήταν διαδοχικός.

Περίπου 650.000 πελάτες έχουν επηρεαστεί. Οι πληροφορίες που εκτέθηκαν περιελάμβαναν:

Προσωπικά δεδομένα
Πληροφορίες για την υγεία
Λεπτομέρειες κατάστασης
Οικονομικές πληροφορίες
Στοιχεία επικοινωνίας
Αριθμός κοινωνικής ασφάλισης
Στοιχεία ασφάλισης

Για να κάνει τα πράγματα χειρότερα, το IMY διαπίστωσε ότι τα δεδομένα εκτέθηκαν μέσω της πύλης της Trygg-Hansa σε μη εξουσιοδοτημένα μέρη για περισσότερα από δύο χρόνια, μεταξύ Οκτωβρίου 2018 και Φεβρουαρίου 2021.

Μια τέτοια εκτεταμένη περίοδος έκθεσης αυξάνει την πιθανότητα κάποιος να βρει το ελάττωμα και να το εκμεταλλευτεί για τη συλλογή ευαίσθητων πληροφοριών.

Αυτός ο τύπος δεδομένων μπορεί στη συνέχεια να πωληθεί σε εγκληματίες του κυβερνοχώρου και να χρησιμοποιηθούν για απάτη,

phishing

ή ακόμα και εκβιασμό των εκτεθειμένων ατόμων.

Το IMY μπόρεσε να επιβεβαιώσει τουλάχιστον 202 περιπτώσεις πελατών που εκτέθηκαν τα προσωπικά τους στοιχεία σε μη εξουσιοδοτημένους χρήστες, αλλά αυτό μπορεί να είναι η κορυφή του παγόβουνου.

«Οι ελλείψεις ήταν τόσο θεμελιώδεις που η Trygg-Hansa θα έπρεπε να είχε τη δυνατότητα να τις εντοπίσει και να τις διορθώσει πριν από την εισ

αγωγή

του τρέχοντος συστήματος

πληροφορική

ς και σε κάθε περίπτωση, κατά τη διάρκεια της μακράς περιόδου χρήσης του συστήματος». –

IMY

Η αποτυχία της ασφαλιστικής εταιρείας να διορθώσει τα ζητήματα όλο αυτό το διάστημα, ακόμη και αφού έλαβε αναφορές για το ελάττωμα, σύμφωνα με το IMY, υποδηλώνει σοβαρό έλλειμμα στην ασφάλεια των δεδομένων και στα μέτρα μετριασμού του κινδύνου για τα οποία η ρυθμιστική αρχή αποφάσισε να επιβάλει διοικητική κύρωση ύψους 3 εκατομμυρίων δολαρίων.

Η πλήρης απόφαση του IMY για την υπόθεση Trygg-Hansa είναι

διαθέσιμο εδώ

.

bleepingcomputer.com

Παρόμοια άρθρα