行业新闻与博客

纽约州因超过 12 万公民的敏感数据泄露，已从两家汽车保险公司获得 1130 万美元的赔偿。

纽约州总检察长和州金融服务部（DFS）表示，不良的数据安全实践导致了数据泄露。

纽约州总检察长莱蒂西亚·詹姆斯表示，这两家公司——政府雇员保险公司 (GEICO) 和旅行者赔偿保险公司 (Travelers)“未能保护消费者的个人信息”。

她补充道：“数据泄露可能导致严重的欺诈，因此所有公司都必须认真对待网络安全和数据保护。”

GEICO 泄密事件中曝光的部分被盗驾照信息被用于在 COVID-19 疫情最严重时期提交虚假失业索赔。

DFS 的调查得出结论，这些公司未能遵守 DFS 的网络安全法规，该法规要求它们实施旨在保护消费者数据和金融机构本身的政策、程序和控制措施。

纽约州总检察长进行的另一项调查得出结论，汽车保险公司没有实施足够的数据安全控制来保护消费者的私人信息。

和解协议规定，GEICO 将向纽约州支付总计 975 万美元的罚款，而旅行者保险公司将向纽约州支付 155 万美元。

除了经济处罚外，这些公司还同意采取一系列旨在加强网络安全实践的措施，包括：

• 维护全面的信息安全计划，旨在保护私人信息的安全性、机密性和完整性
• 开发和维护私人信息数据清单，并确保信息受到保护
• 维护访问私人信息的合理身份验证程序
• 维护日志记录和监控系统，以及合理的政策和程序，旨在正确配置此类系统以对可疑活动发出警报 
• 加强威胁响应程序 

立即阅读：万豪同意就大规模数据泄露支付 5200 万美元和解金

网络安全漏洞导致违规

GEICO 数据泄露事件始于 2020 年 11 月，当时该公司的汽车保险报价工具遭受了一系列网络攻击。

黑客能够从 GEICO 的公开网站获取纽约人的驾驶执照号码，因为该公司未能在网站后端保护这些信息。

DFS 表示，尽管 DFS 已通知 GEICO 整个行业正在发起旨在获取驾驶执照号码的网络攻击活动，但该公司未能对其系统进行全面审查，以防止和检测未来的网络攻击。

随后，威胁行为者利用了 GEICO 保险代理人报价工具中的漏洞，该工具是面向消费者的保险报价网站的独立平台。

大约 116,000 名纽约居民的个人数据在 GEICO 攻击中遭到泄露，其中绝大多数是通过 GEICO 保险代理人的报价工具获取的。

2021 年 4 月，黑客利用泄露的代理商凭证访问了旅行者的代理商门户，从而可以生成包含消费者完整驾照号码的纯文本报告。

该门户网站未使用多因素身份验证 (MFA) 或任何其他补偿控制，因此更容易被利用。尽管旅行者收到了多起行业警报，警告称黑客在 2021 年 1 月至 4 月期间通过保险报价工具获取了驾驶执照号码。

旅行者在长达七个多月的时间里均未发现其代理门户遭到入侵，只是由第三方预填数据提供商才收到攻击警报。

该事件泄露了约 4000 名纽约人的个人信息。