Търсене
Close this search box.

Глобиха шведски застраховател за немарливост

Шведският орган за защита на личните данни (IMY) глоби застрахователя Trygg-Hansa с 3 млн. долара за това, че е публикувал в своя онлайн портал поверителни данни за стотици хиляди клиенти.

Trygg-Hansa е застраховател на физически лица, частни компании и публични организации, както и фирма за управление на активи и инвестиционни консултации.

IMY започна разследване на фирмата, след като получи сигнал от клиент на Moderna Försäkringar (сега част от Trygg-Hansa), който беше открил, че е възможно да се получи достъп до бекграунда на застрахователя, като се следват връзки, налични в страниците с оферти, изпратени на клиентите.

Те се изпращат на всички съществуващи или потенциални клиенти чрез SMS или електронна поща, като съдържат уникален уеб адрес (URL) към страница с оферти на уебсайта на Trygg-Hansa.

IMY потвърди, че базата данни на бекенда е била достъпна, без да се изисква удостоверяване, и те са могли да разглеждат частни документи от други лица, като са променили в URL адреса идентификационния номер на клиента, който е бил последователен.

Около 650 000 клиенти са били засегнати. Изложената на риск информация е включвала:

  • Лични данни
  • Здравна информация
  • Данни за състоянието
  • Финансова информация
  • Данни за контакт
  • Номер на социална сигурност
  • Данни за застраховка

За да влоши положението, IMY установява, че данните са били изложени чрез портала на Trygg-Hansa на неоторизирани страни в продължение на повече от две години – между октомври 2018 г. и февруари 2021 г.

Такъв дълъг период на излагане на данни увеличава вероятността някой да открие недостатъка и да го използва, за да събере чувствителна информация.

Този тип данни могат да бъдат продадени на киберпрестъпници и използвани за измами, фишинг или дори изнудване на изложените на риск лица.

IMY е успяла да потвърди поне 202 случая на клиенти, чиято лична информация е била изложена на риск за неупълномощени потребители, но това може да е върхът на айсберга.

„Недостатъците са били от толкова фундаментално естество, че Trygg-Hansa е трябвало да може да ги открие и отстрани преди въвеждането на настоящата ИТ система и във всеки случай през дългия период, в който системата е била използвана.“ – пише IMY в изявлението по случая.

Според IMY неуспехът на застрахователя да отстрани проблемите през цялото това време, дори след като е получил доклади за недостатъка, показва сериозен пропуск в мерките за сигурност на данните и намаляване на риска, за което регулаторът е решил да наложи административно наказание в размер на 3 млн. долара.

Източник: По материали от Интернет

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!