NAS配置不当 保险公司大量敏感数据泄露
2月19日讯 客户隐私的丢失让我们想起了信用修复和营销行业以前出现过的信息泄露情况,UpGuard 网络风险团队现在要谈一谈美国马里兰联合保险协会(MDJIA)的泄露案例,这是马里兰州一个提供财产保险业务的私营项目,因存储设备的错误配置,将数千客户的信息泄露到网上。此次数据曝光再次告诫我们,高度敏感的个人身份信息可能泄露到网络,在这个案例中,数据就是通过一个联网设备的开放端口泄露。
与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。 由于误配置的问题,企业势必要投入足够的资源保护数据。此次外部平台访问凭证的曝光再次突显了第三方厂商与业务伙伴共享信息的潜在威胁。 事件的发现 2018年1月19日,UpGuard网络风险研究主任Chris Vickery留意到了MDJIA,因为他发现了属于该保险协会的一个联网存储(NAS)设备。该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据,数据分为两部分——BBackup(包含大量保险客户和索赔人数据的环境)和Share(包含凭证和多个内部管理员数据的一个文件夹)。
BBackup和Share 通过曝光的数据可深入了解协会的业务,该协会是隶属于马里兰州,它与其他州的类似组织一样,其成立都源自联邦财产险规定FAIR(公平参保要求)计划的通过。 FAIR财产险政策是什么?而像MDJIA这样的组织如何满足其要求呢?FAIR政策的目的是以投保人索偿记录保护财产所有者,或是那些住在易遭受自然灾害区域的人。许多这类财产所有者由于不符合某条政策要求,投保风险过大,而被保险公司认为是不符合条件的申请人。因而,FAIR政策为那些易被保险公司拒绝的人提供了一个可以接受的基本保险类别。虽然像MDJIA这样的覆盖全州的保险协会并不是公共机构,但是州政府规定了私募保险基金FAIR“市场共享计划”的承保范围,且其收入须回投到项目中。协会由所有市场上的保险公司自愿组成,这些公司都有执照,而且都参与撰写了马里兰州的基本财产险,业主保险和多重风险财产险条款。 在马里兰州,这意味着该州所有的保险公司都要向JIA协会捐资,而后者反过来帮助那些容易被拒保的财产所有者。遗憾的是,名为Live的备份子文件夹曝光后,数以千计的此类易被拒保的客户也从这个未受保护的存储设备曝光了。 
Live子文件夹内含文件 BBackup内包含大量文件,都是面向客户的JIA协会IT运营文件,从投保申请到索偿合同。这些数据包含了大量个人的身份识别信息。一个60GB的文件夹“appgen”中就包含了是个子文件夹,其中有2012年到现在保存的175000多个文件。一个类似的叫“DU”的子文件夹,包含149000个文件,都是申请人姓名,地址和电话号码之类的信息。
MDJIA内部客户文件 财产检查报告和索赔提交材料,如财产受损报告,则提供了更多客户的细节信息。然而,最麻烦的是“appgen”文件夹中的社保号,以及保险单号信息,还有显示完整银行卡号的支票影像。 
包含高度敏感信息的保险文件 在“Share”文件夹中包含了MDJIA协会IT资产的敏感信息。内部密码清单,包括以纯文本形式保存的JIA电子邮箱地址的密码,还有TeamViewer远程桌面访问凭证的截屏。 
MDJIA的ISO ClaimSearch访问凭证 MDJIA ISO ClaimSearch访问凭证的曝光则更具破坏性,这是Verisk Analytics提供的一个第三方保险数据库,其中包含供业内专家参考的成百上千万份的个人保险索赔报告——一旦有人恶意访问,则是一份巨大的身份识别信息宝藏。 重要影响 数千参保人高敏感信息以及MDJIA协会IT运营访问凭证的曝光是一次非常严重的身份识别信息泄露事件,而且可能对曝光用户造成严重影响。此次泄露再次表明,各类机构必须投入时间和精力去消除网络威胁,否则破坏性的数据泄露会严重影响个人和企业安全。 姓名,地址,电话号码,特别是社保号的曝光,让我们几乎可以预见数千马里兰州居民的身份可能被盗用的现实。这些信息,再加上完整的银行卡号和保单号,就为账户诈骗,金融攻击甚至是保险诈骗提供了便利。 从受影响客户的角度看,这些威胁都极具破坏性。马里兰州最新的泄露通知法律规定了数据泄露方须通知受影响的客户,并提供内部调查。然而,UpGuard 网络风险团队并不能确定是否有人恶意访问这些信息或者此法律是否适用于这个案例。可以确定的一点是,企业迅速通知受影响客户,且保持过程透明通常是极为重要的。 泄露的内部凭据如果落入犯罪分子之手,就可能被用来破坏该协会的其他系统,或许会曝光更多重要数据。若他们进入MDJIA的电子邮箱账户,则窃取更多申请人和参保者的更多敏感信息。而泄露的ClaimSearch数据库的详细登录数据以及数百万保险记录可能被滥用,这也是数据通过第三方泄露的绝佳案例,我们应以此为鉴。
