NAS配置不當 保險公司大量敏感數據泄露
2月19日訊 客戶隱私的丟失讓我們想起了信用修復和營銷行業以前出現過的信息泄露情況,UpGuard 網絡風險團隊現在要談一談美國馬里蘭聯合保險協會(MDJIA)的泄露案例,這是馬里蘭州一個提供財產保險業務的私營項目,因存儲設備的錯誤配置,將數千客戶的信息泄露到網上。此次數據曝光再次告誡我們,高度敏感的個人身份信息可能泄露到網絡,在這個案例中,數據就是通過一個聯網設備的開放端口泄露。
與被泄數據存儲一起被曝光的是JIA客戶文件和聲明的備份,包括客戶姓名,地址,電話號碼,生日以及社保號,支票掃描件,銀行賬號和保險單號。除了這些重要的客戶信息,這次泄露還曝光了一個內部訪問憑證數列,它原本用于管理和控制MDJIA協會的運營,包括遠程桌面,郵件,第三方用戶名和密碼。 由于誤配置的問題,企業勢必要投入足夠的資源保護數據。此次外部平臺訪問憑證的曝光再次突顯了第三方廠商與業務伙伴共享信息的潛在威脅。 事件的發現 2018年1月19日,UpGuard網絡風險研究主任Chris Vickery留意到了MDJIA,因為他發現了屬于該保險協會的一個聯網存儲(NAS)設備。該設備通過一個開放端口與互聯網連接,而它內含與協會IT運營的重要敏感數據,數據分為兩部分——BBackup(包含大量保險客戶和索賠人數據的環境)和Share(包含憑證和多個內部管理員數據的一個文件夾)。
BBackup和Share 通過曝光的數據可深入了解協會的業務,該協會是隸屬于馬里蘭州,它與其他州的類似組織一樣,其成立都源自聯邦財產險規定FAIR(公平參保要求)計劃的通過。 FAIR財產險政策是什么?而像MDJIA這樣的組織如何滿足其要求呢?FAIR政策的目的是以投保人索償記錄保護財產所有者,或是那些住在易遭受自然災害區域的人。許多這類財產所有者由于不符合某條政策要求,投保風險過大,而被保險公司認為是不符合條件的申請人。因而,FAIR政策為那些易被保險公司拒絕的人提供了一個可以接受的基本保險類別。雖然像MDJIA這樣的覆蓋全州的保險協會并不是公共機構,但是州政府規定了私募保險基金FAIR“市場共享計劃”的承保范圍,且其收入須回投到項目中。協會由所有市場上的保險公司自愿組成,這些公司都有執照,而且都參與撰寫了馬里蘭州的基本財產險,業主保險和多重風險財產險條款。 在馬里蘭州,這意味著該州所有的保險公司都要向JIA協會捐資,而后者反過來幫助那些容易被拒保的財產所有者。遺憾的是,名為Live的備份子文件夾曝光后,數以千計的此類易被拒保的客戶也從這個未受保護的存儲設備曝光了。 
Live子文件夾內含文件 BBackup內包含大量文件,都是面向客戶的JIA協會IT運營文件,從投保申請到索償合同。這些數據包含了大量個人的身份識別信息。一個60GB的文件夾“appgen”中就包含了是個子文件夾,其中有2012年到現在保存的175000多個文件。一個類似的叫“DU”的子文件夾,包含149000個文件,都是申請人姓名,地址和電話號碼之類的信息。
MDJIA內部客戶文件 財產檢查報告和索賠提交材料,如財產受損報告,則提供了更多客戶的細節信息。然而,最麻煩的是“appgen”文件夾中的社保號,以及保險單號信息,還有顯示完整銀行卡號的支票影像。 
包含高度敏感信息的保險文件 在“Share”文件夾中包含了MDJIA協會IT資產的敏感信息。內部密碼清單,包括以純文本形式保存的JIA電子郵箱地址的密碼,還有TeamViewer遠程桌面訪問憑證的截屏。 
MDJIA的ISO ClaimSearch訪問憑證 MDJIA ISO ClaimSearch訪問憑證的曝光則更具破壞性,這是Verisk Analytics提供的一個第三方保險數據庫,其中包含供業內專家參考的成百上千萬份的個人保險索賠報告——一旦有人惡意訪問,則是一份巨大的身份識別信息寶藏。 重要影響 數千參保人高敏感信息以及MDJIA協會IT運營訪問憑證的曝光是一次非常嚴重的身份識別信息泄露事件,而且可能對曝光用戶造成嚴重影響。此次泄露再次表明,各類機構必須投入時間和精力去消除網絡威脅,否則破壞性的數據泄露會嚴重影響個人和企業安全。 姓名,地址,電話號碼,特別是社保號的曝光,讓我們幾乎可以預見數千馬里蘭州居民的身份可能被盜用的現實。這些信息,再加上完整的銀行卡號和保單號,就為賬戶詐騙,金融攻擊甚至是保險詐騙提供了便利。 從受影響客戶的角度看,這些威脅都極具破壞性。馬里蘭州最新的泄露通知法律規定了數據泄露方須通知受影響的客戶,并提供內部調查。然而,UpGuard 網絡風險團隊并不能確定是否有人惡意訪問這些信息或者此法律是否適用于這個案例。可以確定的一點是,企業迅速通知受影響客戶,且保持過程透明通常是極為重要的。 泄露的內部憑據如果落入犯罪分子之手,就可能被用來破壞該協會的其他系統,或許會曝光更多重要數據。若他們進入MDJIA的電子郵箱賬戶,則竊取更多申請人和參保者的更多敏感信息。而泄露的ClaimSearch數據庫的詳細登錄數據以及數百萬保險記錄可能被濫用,這也是數據通過第三方泄露的絕佳案例,我們應以此為鑒。
