最近,印度网络安全公司Banbreach就一个美国加州保险局(California Department of Insurance,CDI)网站漏洞与网络安全博客DataBreaches.net取得了联系。据Banbreach称,他们在早前已经通知了CDI,一个连接到interactive.web.insurance[.]gov的Oracle报表服务器在24小时内生成了24450多份报表,而该服务器能够被公开访问。
大多数报表似乎都是保险代理人的续签报告,其中包括代理人的姓名、续签ID和税务识别号(TIN)。由于有很多人也使用他们的社会安全号码(SSN,相当于我国的居民身份证号)作为他们的税务识别号,因此这些人的名字和SSN号码可能已经遭到泄露。通过这个网站漏洞暴露的其他报告被描述为:
- 保险索赔调查报告,包括姓名、车辆登记号码和住址等详细信息;
- 关于月度欺诈的统计报告;
- 被起诉人的详细个人信息,以及指控的细节(如罪名、罚款等)。
据称,Banbreach是在2018年11月9日向CDI通报了他们的发现,并在随后与州检察长办公室取得了联系。在一周之后,Banbreach收到对于漏洞的确认,并被要求保证不会滥用这些数据并立即销毁这些数据。
然而,DataBreaches.net表示,加州保险局目前仍没有公布这起事件,在任何政府网站上都找不到相关的通知或公告。
DataBreaches.net通过电子邮件与CDI进行了联系,询问是否有会有相关的通知发布。作为回应,CDI向DataBreaches.net提供了一份于12月14日发出的通知的副本。但CDI的一位发言人表示,这份通知不会出现在任何政府网站上,因为“受这起事件影响的人数达不到需要公示的要求”。
此外,这位发言人还表示,他们的调查已经确认,访问过这些数据的实体只有Banbreach公司。然而,这与Banbreach告诉DataBreaches.net的情况并不一致,因为Banbreach表示存在第二个IP地址访问过这些数据。
无论如何,在2018年11月13日,作为对Banbreach通报回应的一部分,CDI已经切断了存在安全问题的Oracle报表服务器与外部网站之间的连接。也就是说,数据能够被公开访问的问题已经得到了控制。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
