前情回顾·全球网络安全执法
安全内参11月27日消息,美国纽约州当局对汽车保险巨头Geico处以975万美元(约合人民币7068万元)罚款,原因是该公司未能妥善保护客户驾驶证号等信息,导致2021年初发生一系列网络安全事件。
保险巨头Travelers也被处以155万美元(约合人民币1123万元)罚款,原因是黑客在2021年中利用被盗凭据窃取了驾驶证号等信息。
纽约州金融服务部的调查人员发现,这两家公司都发生过黑客访问内部系统窃取未加密数据的事件。该部门联合州检察总办公室通过评估确定了罚款金额。调查显示,黑客利用窃取的驾驶证号在新冠疫情期间提交了虚假的失业救济申请。
攻击者多次调整手法,以保证数据持续爬取能力
调查人员称,2021年1月,黑客开始针对Geico系统进行攻击。他们最初利用这家汽车保险公司的在线报价工具获取数据。当时,Geico通过第三方表单预填服务,根据客户提供的姓名、地址和出生日期等信息,生成完整的驾驶证号并提供给潜在客户。
在发现黑客行为后,Geico随即终止了这一服务。然而,黑客调整了策略。他们发现,Geico的汽车理赔网站在理赔回执消息中,以明文形式传输驾驶证号。于是,黑客再次窃取了数据。随后,他们用被盗的身份信息和伪造的银行账户详细信息创建新账号,并立即提交虚假的理赔请求以获取驾驶证号。
对此,Geico再次对系统进行了修改,但黑客依然找到了新漏洞。他们发现Geico汽车保险购买页面的源代码中,暴露了保险代理使用的API接口。调查人员指出,这些代码“没有理由”被公开。2021年2月,黑客利用自动化查询工具攻击该接口。从2月24日至3月1日,黑客每天窃取1万至2.5万条客户记录。
保险公司直到收到黑客的勒索邮件以及一名与威胁行为者有矛盾的个人举报后,才意识到这一漏洞。举报者详细描述了攻击者如何窃取数据以及防止进一步攻击的方法。
Geico的一位发言人在声明中表示,公司已主动向纽约州当局报告了这些事件,并“改进了其系统,以防止此类欺诈行为再次发生”。
Travelers数据泄漏事件中,驾驶证号的泄露同样与明文传输有关。这些数据通过独立保险代理使用的门户网站被发送出去。2021年4月,威胁行为者利用被盗的登录凭据访问了该门户网站。纽约州当局表示,Travelers是在第三方表单预填服务商的提醒下,于2021年11月发现受到攻击。
Travelers的一位发言人强调,这次事件中仅有“少数独立代理的被盗凭据”,并补充说明,“需要注意的是,Travelers的内部系统并未受到此次攻击的影响。”
两家公司均签署了同意令,承诺加强网络安全计划,包括维护隐私信息清单并确保数据受到保护。纽约州检察总Letitia James表示:“数据泄露可能引发严重的欺诈行为,因此所有公司都必须严肃对待网络安全和数据保护问题。”
参考资料:https://www.bankinfosecurity.com/new-york-fines-geico-travelers-113m-for-data-breaches-a-26899
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
