瑞典隐私保护机构(IMY)对保险公司Trygg-Hansa处以300万美元的罚款,原因是该公司在其在线门户上泄露了数十万客户的敏感数据。
Trygg-Hansa是一家为个人、私营公司和公共机构提供保险,同时也是一家资产管理和投资咨询公司。
IMY在收到客户的举报后对该公司进行了调查,该客户发现通过访问发送给客户的报价页面上的链接,可以访问该保险公司的后台。
这些链接通过短信或电子邮件发送给所有现有或潜在客户,包含了指向Trygg-Hansa网站上报价页面的唯一网址(URL)。
IMY确认,后台数据库可以在不需要身份验证的情况下访问,他们可以通过修改URL中的客户ID号(按顺序分配的号码)来浏览其他人的私人文件。
大约有65万客户受到了影响,泄露的信息包括:
- 个人数据
- 健康信息
- 病况详情
- 财务信息
- 联系信息
- 社会保障号码
- 保险详情
更糟糕的是,IMY确定这些数据在Trygg-Hansa的门户网站上向未经授权的第三方泄露了超过两年,从2018年10月到2021年2月。
这种长时间的数据泄露期增加了有人发现漏洞并利用它来收集敏感信息的可能性。
这种类型的数据随后可以出售给网络犯罪分子,用于欺诈、钓鱼或甚至勒索受害者。
IMY已经确认了至少202名客户的个人信息曾被未经授权的用户访问,但这可能只是冰山一角。
“这些缺陷的性质如此根本,以至于Trygg-Hansa在引入当前IT系统之前应该能够发现并修复这些问题,无论如何,在使用该系统的漫长期间内都应该能够修复这些问题。” – IMY
IMY表示,即使在收到漏洞报告后,该保险公司未能在此期间纠正问题,这表明了数据安全和风险缓解措施存在