Η Σουηδική Αρχή Προστασίας Προσωπικών Δεδομένων (IMY) επέβαλε πρόστιμο ύψους 3 εκατομμυρίων δολαρίων στην ασφαλιστική εταιρεία Trygg-Hansa, επειδή εξέθεσε στην ηλεκτρονική της πύλη ευαίσθητα δεδομένα εκατοντάδων χιλιάδων πελατών της.
Δείτε επίσης: Hacker διαρρέει αυστραλιανά διαβατήρια προς πώληση
Η Trygg-Hansa είναι ασφαλιστής για ιδιώτες, ιδιωτικές εταιρείες και δημόσιους οργανισμούς, καθώς και εταιρεία διαχείρισης περιουσιακών στοιχείων και παροχής συμβουλών σε θέματα επενδύσεων.
Η IMY ξεκίνησε έρευνα σχετικά με την εταιρεία μετά από πληροφορία που έλαβε από πελάτη της Moderna Försäkringar (που τώρα ανήκει στην Trygg-Hansa), ο οποίος είχε ανακαλύψει ότι ήταν δυνατή η πρόσβαση στο backend του ασφαλιστή ακολουθώντας συνδέσμους που υπήρχαν σε σελίδες προσφορών που αποστέλλονταν σε πελάτες.
StealC: Κατάχρηση kiosk mode του browser για κλοπή password
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
OpenAI o1: Νέο AI μοντέλο "σκέφτεται" σαν άνθρωπος
Αυτά αποστέλλονται σε όλους τους υφιστάμενους ή δυνητικούς πελάτες μέσω SMS ή ηλεκτρονικού ταχυδρομείου και περιέχουν μια μοναδική διεύθυνση (URL) για μια σελίδα προσφοράς στον ιστότοπο της Trygg-Hansa.
Η IMY επιβεβαίωσε ότι η βάση δεδομένων του backend ήταν προσβάσιμη χωρίς να απαιτείται έλεγχος ταυτότητας και μπορούσαν να περιηγηθούν σε ιδιωτικά έγγραφα άλλων ατόμων τροποποιώντας στη διεύθυνση URL τον αριθμό ταυτότητας πελάτη, ο οποίος ήταν διαδοχικός.
Περίπου 650.000 πελάτες έχουν επηρεαστεί. Οι πληροφορίες που εκτέθηκαν περιλάμβαναν:
- Προσωπικά δεδομένα
- Πληροφορίες για την υγεία
- Λεπτομέρειες κατάστασης
- Οικονομικές πληροφορίες
- Στοιχεία επικοινωνίας
- Αριθμός κοινωνικής ασφάλισης
- Ασφαλιστικά στοιχεία
Πρόταση: Freecycle: Παραβίαση δεδομένων επηρεάζει 7 εκατ. χρήστες
Για να γίνουν τα πράγματα χειρότερα, η IMY διαπίστωσε ότι τα δεδομένα ήταν εκτεθειμένα μέσω της πύλης της Trygg-Hansa σε μη εξουσιοδοτημένα μέρη για περισσότερα από δύο χρόνια, μεταξύ Οκτωβρίου 2018 και Φεβρουαρίου 2021.
Μια τόσο εκτεταμένη περίοδος έκθεσης αυξάνει την πιθανότητα κάποιος να βρει το ελάττωμα και να το εκμεταλλευτεί για να συλλέξει ευαίσθητες πληροφορίες.
Αυτού του είδους τα δεδομένα μπορούν στη συνέχεια να πωληθούν σε εγκληματίες του κυβερνοχώρου και να χρησιμοποιηθούν για απάτες, phishing ή ακόμη και για εκβιασμό των εκτεθειμένων ατόμων.
Η IMY ήταν σε θέση να επιβεβαιώσει τουλάχιστον 202 περιπτώσεις πελατών που οι προσωπικές τους πληροφορίες εκτέθηκαν σε μη εξουσιοδοτημένους χρήστες, αλλά αυτό μπορεί να είναι η κορυφή του παγόβουνου.
“Οι ελλείψεις ήταν τόσο θεμελιώδους φύσης που η Trygg-Hansa θα έπρεπε να είναι σε θέση να τις εντοπίσει και να τις διορθώσει πριν από την εισαγωγή του σημερινού συστήματος IT και σε κάθε περίπτωση, κατά τη διάρκεια της μακράς περιόδου χρήσης του συστήματος.” – IMY
Η αποτυχία της ασφαλιστικής εταιρείας να αποκαταστήσει τα προβλήματα όλο αυτό το διάστημα, ακόμη και αφού έλαβε αναφορές για το ελάττωμα, σύμφωνα με την IMY, υποδηλώνει σοβαρή ανεπάρκεια στα μέτρα ασφάλειας δεδομένων και μείωσης των κινδύνων, για την οποία η ρυθμιστική αρχή αποφάσισε να επιβάλει διοικητικό πρόστιμο ύψους 3 εκατ. δολαρίων.
Η πλήρης απόφαση της IMY για την υπόθεση Trygg-Hansa είναι διαθέσιμη εδώ.
Διαβάστε επίσης:Χάκερ εκμεταλλεύονται το σύστημα αποθήκευσης MinIO για να παραβιάσουν εταιρικά δίκτυα
πηγή πληροφοριών:bleepingcomputer.com