行業新聞與博客

紐約州因超過 12 萬公民的敏感數據泄露，已從兩家汽車保險公司獲得 1130 萬美元的賠償。

紐約州總檢察長和州金融服務部（DFS）表示，不良的數據安全實踐導致了數據泄露。

紐約州總檢察長萊蒂西亞·詹姆斯表示，這兩家公司——政府僱員保險公司 (GEICO) 和旅行者賠償保險公司 (Travelers)“未能保護消費者的個人信息”。

她補充道：“數據泄露可能導致嚴重的欺詐，因此所有公司都必須認真對待網絡安全和數據保護。”

GEICO 泄密事件中曝光的部分被盜駕照信息被用於在 COVID-19 疫情最嚴重時期提交虛假失業索賠。

DFS 的調查得出結論，這些公司未能遵守 DFS 的網絡安全法規，該法規要求它們實施旨在保護消費者數據和金融機構本身的政策、程序和控制措施。

紐約州總檢察長進行的另一項調查得出結論，汽車保險公司沒有實施足夠的數據安全控制來保護消費者的私人信息。

和解協議規定，GEICO 將向紐約州支付總計 975 萬美元的罰款，而旅行者保險公司將向紐約州支付 155 萬美元。

除了經濟處罰外，這些公司還同意採取一系列旨在加強網絡安全實踐的措施，包括：

• 維護全面的信息安全計劃，旨在保護私人信息的安全性、機密性和完整性
• 開發和維護私人信息數據清單，並確保信息受到保護
• 維護訪問私人信息的合理身份驗證程序
• 維護日誌記錄和監控系統，以及合理的政策和程序，旨在正確配置此類系統以對可疑活動發出警報 
• 加強威脅響應程序 

立即閲讀：萬豪同意就大規模數據泄露支付 5200 萬美元和解金

網絡安全漏洞導致違規

GEICO 數據泄露事件始於 2020 年 11 月，當時該公司的汽車保險報價工具遭受了一系列網絡攻擊。

黑客能夠從 GEICO 的公開網站獲取紐約人的駕駛執照號碼，因為該公司未能在網站後端保護這些信息。

DFS 表示，儘管 DFS 已通知 GEICO 整個行業正在發起旨在獲取駕駛執照號碼的網絡攻擊活動，但該公司未能對其系統進行全面審查，以防止和檢測未來的網絡攻擊。

隨後，威脅行為者利用了 GEICO 保險代理人報價工具中的漏洞，該工具是面向消費者的保險報價網站的獨立平台。

大約 116,000 名紐約居民的個人數據在 GEICO 攻擊中遭到泄露，其中絕大多數是通過 GEICO 保險代理人的報價工具獲取的。

2021 年 4 月，黑客利用泄露的代理商憑證訪問了旅行者的代理商門户，從而可以生成包含消費者完整駕照號碼的純文本報告。

該門户網站未使用多因素身份驗證 (MFA) 或任何其他補償控制，因此更容易被利用。儘管旅行者收到了多起行業警報，警告稱黑客在 2021 年 1 月至 4 月期間通過保險報價工具獲取了駕駛執照號碼。

旅行者在長達七個多月的時間裏均未發現其代理門户遭到入侵，只是由第三方預填數據提供商才收到攻擊警報。

該事件泄露了約 4000 名紐約人的個人信息。