违反
双重赔偿:保险公司如何暴露其客户

双重赔偿:保险公司如何暴露其客户

UpGuard团队
UpGuard团队
发布于2018年2月8日
加入27,000多个网络安全通讯订阅者

尽管此博客文章描述了涉及马里兰州联合保险协会(JIA)的数据泄露发现,但这已不再是主动的数据泄露。一旦UpGuard网络风险小组将此公开信息通知了JIA,便立即采取了行动,以保护数据并阻止进一步访问。

对消费者隐私的打击使人想起了以前的违规行为 信用修复行销 行业,UpGuard网络风险团队现在可以披露 马里兰联合保险协会(JIA),是一项在该州提供财产保险的私人部门计划, 个人身份信息(PII) 通过错误配置的存储设备将成千上万的个人连接到公共Internet。这种数据暴露再次强调了高度敏感的,可个人识别的信息可以轻松在线泄漏的情况-在这种情况下,通过 开放港口 在连接互联网的设备上。

在公开的数据存储库中显示的是JIA客户文件和声明的备份,其中包含诸如客户名称,地址,电话号码,出生日期和完整的社会保险号等信息,以及财务数据(如支票图像,完整的银行帐户)号和保险单号。除了这些重要的客户信息之外,泄漏还揭示了一系列内部访问凭证,这些凭证用于管理和管理MDJIA的操作,包括远程桌面,电子邮件以及第三方合作伙伴用户名和密码。

由于一种错误配置能够拼写出数据完整性与灾难之间的差异,因此企业必须将足够的资源投入到能够持续保护其数据的流程中。外部平台访问凭证的存储库中的内容进一步凸显了第三方供应商与业务合作伙伴共享信息所面临的潜在危险。

发现

2018年1月19日,UpGuard网络风险研究总监Chris Vickery通知了马里兰JIA,他发现了属于该保险集团的不安全网络附加存储(NAS)设备。该设备连接到公共互联网并可以通过开放端口访问,其中包含对MDJIA IT运营至关重要的高度敏感信息,分为“ BBackup”(包含大量保险客户和索赔人数据的存储环境)和“ Share(共享),包含多个内部管理用户的凭据和数据的文件夹。

IMG_3007.png
BBackup和共享文件夹。

综合起来,公开的数据可以深入了解马里兰州联合保险协会的运作方式,这是一种由州政府授权的独特保险计划, 网站 澄清说:“既不是国家机构,也不是任何运营资金来自国家。”马里兰JIA,以及 其他数十个州的类似组织源自联邦财产保险法规的通过 公平(公平获得保险要求)

什么是公平财产保险政策?马里兰JIA等组织如何提供这些政策?公平政策旨在保护有过向其保险公司提起索赔的历史的财产所有者,或居住在极有可能遭受自然灾害或财产损失的地区的财产所有者。如果放任他们在公开市场上寻找保险,许多这样的财产所有者将无法获得保险单,因为保险公司认为这是冒险的押注。因此,公平交易政策为这些最脆弱的所有者提供了负担得起的基准保险范围,否则他们可能会被拒绝购买任何其他保险。虽然像马里兰JIA这样的州保险协会不是公共机构,但州政府要求私人保险公司为FAIR“共享市场计划”保险范围,将付款产生的任何收益重新投资到计划中。因此, 根据MDJIA的网站,这家保险公司“由所有获得许可并写有马里兰州多重险政策的基本财产保险,房主保险和财产保险组成部分的自愿市场保险公司组成。”

在马里兰州,这意味着在该州经营的保险公司都对JIA有所贡献,这反过来又有助于该州最脆弱的财产所有者获得承保。不幸的是,由于暴露了一个标记为“实时”的备份子文件夹,因此数千名相同的易受攻击的客户通过此不安全的存储设备被暴露。

IMG_3008.png
内部"Live" subfolder.

“ BBackup”部分包含各种各样的文件,从应用程序到合同到索赔,所有这些文件都为JIA IT运营的面向客户方提供服务。因此,这些数据包含在申请保险和索赔过程中收集的大量个人身份信息。从2012年至今,一个60 GB的文件夹“ appgen”包含10个子文件夹和超过175.000个文件。其中一个名为“ DU”的子文件夹包含144.9万个文件,这些文件汇编了诸如申请人姓名,地址和电话号码之类的信息。

IMG_3009.png
敏感的MDJIA内部客户文档。

财产检查报告和索赔提交材料(例如损坏的财产的照片)提供了有关客户的更多私人详细信息。然而,最令人不安的是,“ appgen”中存在完整的社会保障号,以及诸如保险单号和显示完整银行帐号的支票图像之类的信息。

IMG_3011.png
包含高度敏感的申请人信息的保险文件。

存储库的“共享”操作部分包含有关马里兰JIA IT资产管理的类似敏感信息。内部密码列表(包括JIA电子邮件地址)以明文形式存储在该文件夹中,以及TeamViewer远程桌面访问凭据的屏幕截图。

IMG_3010.png
MDJIA'■ISO ClaimSearch访问凭据。

潜在的更大危害是MDJIA访问凭据的暴露 ISO ClaimSearch,由提供的第三方保险数据库 Verisk Analytics 并包含针对行业专业人士的“关于个人保险索赔的数千万份报告”-如果被恶意行为者访问,则可能是个人身份信息的宝库。

意义

这种对数千名保险客户的高度敏感的个人信息的暴露,以及在马里兰州联合保险协会的运营中使用的关键访问凭据,构成了个人可识别信息和访问密钥的严重泄漏,这些信息和访问密钥很容易用来使受影响的个人受害。此泄漏进一步证明了 网络风险 这是一支日益强大的力量,机构必须投入大量时间和精力来缓解或冒着破坏性数据泄露的风险,这可能严重危害个人和企业。

姓名,地址,电话号码(尤其是完整的社会安全号码)的披露使数千名马里兰州的居民有可能被盗用身份,而这些资料库将落入恶意行为者的手中。此信息与完整的银行帐户和保险单号结合使用,可以为帐户欺诈,金融攻击甚至保险欺诈提供充足的材料。

鉴于受影响的个人,所有这些威胁尤其具有破坏性:马里兰州最脆弱的财产所有人,很可能无法通过联合保险协会以外的任何其他提供者获得保险。 马里兰州最新的违规通知法 要求向受影响的消费者发出通知,前提是内部调查“表明有合理机会滥用数据。”虽然UpGuard网络风险团队无法确定是否有恶意行为者访问了此信息,或者在这种情况下是否适用此类法律,但可以肯定的是,企业迅速通知受影响的个人并保持透明始终是至关重要的。

在犯罪分子手中,JIA内部证书的泄漏可能被用来进一步危害其他系统,可能会发现更多关键数据。访问JIA电子邮件帐户可以使恶意行为者冒充公司,从而从申请人和被保险人中提取更多敏感信息。包括ClaimSearch数据库的登录详细信息以及可能会访问和滥用数百万条保险记录的危险,这也是如何实现第三方供应商风险,将网络风险扩展到一个实体之外并暴露出风险的典型示例。其他合作伙伴业务。

UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

保护您的组织

取得联系或预订免费演示。
抽象形状抽象形状

相关违规

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状