行業新聞與部落格

紐約州因超過 12 萬公民的敏感資料洩露，已從兩家汽車保險公司獲得 1130 萬美元的賠償。

紐約州總檢察長和州金融服務部（DFS）表示，不良的資料安全實踐導致了資料洩露。

紐約州總檢察長萊蒂西亞·詹姆斯表示，這兩家公司——政府僱員保險公司 (GEICO) 和旅行者賠償保險公司 (Travelers)“未能保護消費者的個人資訊”。

她補充道：“資料洩露可能導致嚴重的欺詐，因此所有公司都必須認真對待網路安全和資料保護。”

GEICO 洩密事件中曝光的部分被盜駕照資訊被用於在 COVID-19 疫情最嚴重時期提交虛假失業索賠。

DFS 的調查得出結論，這些公司未能遵守 DFS 的網路安全法規，該法規要求它們實施旨在保護消費者資料和金融機構本身的政策、程式和控制措施。

紐約州總檢察長進行的另一項調查得出結論，汽車保險公司沒有實施足夠的資料安全控制來保護消費者的私人資訊。

和解協議規定，GEICO 將向紐約州支付總計 975 萬美元的罰款，而旅行者保險公司將向紐約州支付 155 萬美元。

除了經濟處罰外，這些公司還同意採取一系列旨在加強網路安全實踐的措施，包括：

• 維護全面的資訊保安計劃，旨在保護私人資訊的安全性、機密性和完整性
• 開發和維護私人資訊資料清單，並確保資訊受到保護
• 維護訪問私人資訊的合理身份驗證程式
• 維護日誌記錄和監控系統，以及合理的政策和程式，旨在正確配置此類系統以對可疑活動發出警報 
• 加強威脅響應程式 

立即閱讀：萬豪同意就大規模資料洩露支付 5200 萬美元和解金

網路安全漏洞導致違規

GEICO 資料洩露事件始於 2020 年 11 月，當時該公司的汽車保險報價工具遭受了一系列網路攻擊。

駭客能夠從 GEICO 的公開網站獲取紐約人的駕駛執照號碼，因為該公司未能在網站後端保護這些資訊。

DFS 表示，儘管 DFS 已通知 GEICO 整個行業正在發起旨在獲取駕駛執照號碼的網路攻擊活動，但該公司未能對其系統進行全面審查，以防止和檢測未來的網路攻擊。

隨後，威脅行為者利用了 GEICO 保險代理人報價工具中的漏洞，該工具是面向消費者的保險報價網站的獨立平臺。

大約 116,000 名紐約居民的個人資料在 GEICO 攻擊中遭到洩露，其中絕大多數是透過 GEICO 保險代理人的報價工具獲取的。

2021 年 4 月，駭客利用洩露的代理商憑證訪問了旅行者的代理商門戶，從而可以生成包含消費者完整駕照號碼的純文字報告。

該入口網站未使用多因素身份驗證 (MFA) 或任何其他補償控制，因此更容易被利用。儘管旅行者收到了多起行業警報，警告稱駭客在 2021 年 1 月至 4 月期間透過保險報價工具獲取了駕駛執照號碼。

旅行者在長達七個多月的時間裡均未發現其代理門戶遭到入侵，只是由第三方預填資料提供商才收到攻擊警報。

該事件洩露了約 4000 名紐約人的個人資訊。