Страхова компанія два роки розсилала інформацію про своїх клієнтів в SMS та email
Шведську страхову компанію Trygg-Hansa оштрафували за те, що вона понад два роки розкривала особисті дані своїх клієнтів. Їх можна було знайти на онлайн-порталі оператора в розділі із ціновими пропозиціями, пише BleepingCopmputer.
Шведський орган із захисту конфіденційності (IMY) оштрафував страхову компанію Trygg-Hansa на $3 млн за оприлюднення на її онлайн-порталі конфіденційних даних, що належать сотням тисяч її клієнтів.
IMY розпочали розслідування після повідомлення одного з них, а саме фірми Moderna Försäkringar. Її фахівці виявили, що доступ до конфіденційних даних можна було отримати після переходу за одним із посилань на сторінках із ціновими пропозиціями.
В IMY підтвердили, що серверна база була доступна без автентифікації, і фактично будь-хто міг переглядати приватну інформацію інших осіб. Йдеться про особисті дані приблизно 650 тис. клієнтів Trygg-Hansa.
Цінові пропозиції періодично надсилали наявним або потенційним клієнтам через SMS-повідомлення або електронну пошту. Всі вони містили посилання, за яким можна було увійти в базу.
Отже, розкритими виявилися особисті та фінансові дані користувачів страхових послуг, їхні контакти, інформація про стан здоров’я, номери соціального страхування, умови обслуговування тощо.
Під час розслідування виявили, що ця вразливість на порталі Trygg-Hansa існувала більш як два роки. В IMY підтвердили щонайменше 202 випадки, коли інформацію про клієнтів переглядали неавторизовані особи, тобто не співробітники та не власники особистих кабінетів. Ці дані могли використовувати фішингу, шантажу тощо.
За припущеннями, в Trygg-Hansa знали про проблему та ймовірність витоку, проте не поспішали усунути цей недолік. Через безпекові порушення та відсутність заходів зі зменшення ризиків регулятор вирішив накласти на страховика адміністративний штраф у розмірі $3 млн.