Cơ quan Bảo vệ Quyền riêng tư của Thụy Điển (IMY) đã phạt công ty bảo hiểm Trygg-Hansa 3 triệu USD vì tiết lộ dữ liệu nhạy cảm trên cổng thông tin trực tuyến của hàng trăm nghìn khách hàng.
Trygg-Hansa là công ty bảo hiểm cho cá nhân, công ty tư nhân và tổ chức công, đồng thời cũng là công ty tư vấn đầu tư và quản lý tài sản.
IMY đã bắt đầu thực hiện điều tra Trygg-Hansa sau khi nhận được thông tin từ một khách hàng của Moderna Försäkringar (hiện là một phần của Trygg-Hansa), người này đã phát hiện ra có thể truy cập vào phần phụ trợ của công ty bảo hiểm bằng cách nhấp vào các liên kết có sẵn trên các trang báo giá được gửi cho khách hàng.
Dữ liệu này được gửi đến tất cả khách hàng hiện tại hoặc tiềm năng qua SMS hoặc email, chứa địa chỉ web (URL) duy nhất dẫn đến trang báo giá trên trang web của Trygg-Hansa.
IMY xác nhận rằng cơ sở dữ liệu phụ trợ có thể truy cập được mà không cần xác thực và họ có thể duyệt các tài liệu riêng tư từ các cá nhân khác bằng cách sửa đổi số ID khách hàng trong URL theo trình tự.
Khoảng 650.000 khách hàng đã bị ảnh hưởng. Các thông tin được tiết lộ bao gồm:
- Dữ liệu cá nhân
- Thông tin sức khỏe
- Chi tiết về tình trạng
- Thông tin tài chính
- Chi tiết liên hệ
- Số an sinh xã hội
- Chi tiết bảo hiểm
Tệ hơn nữa, IMY xác định rằng dữ liệu đã bị lộ thông qua cổng Trygg-Hansa cho các bên trái phép trong hơn hai năm, từ tháng 10 năm 2018 đến tháng 2 năm 2021.
Lỗ hổng bị phơi bày trong khoảng thời gian kéo dài như vậy làm tăng khả năng bị tấn công và khai thác để thu thập thông tin nhạy cảm.
Loại dữ liệu này sau đó có thể được bán cho tội phạm mạng và được sử dụng để lừa đảo hoặc thậm chí tống tiền các cá nhân bị lộ.
IMY đã xác nhận ít nhất 202 trường hợp khách hàng bị lộ thông tin cá nhân của họ cho những người dùng trái phép, nhưng đây có thể chỉ là phần nổi của tảng băng trôi.
“Những thiếu sót có tính chất cơ bản đến mức Trygg-Hansa đáng lẽ đã có thể phát hiện và khắc phục những điều này trước khi hệ thống CNTT hiện tại được giới thiệu và trong mọi trường hợp, trong suốt thời gian dài hệ thống đã được sử dụng.” – IMY
Theo IMY, việc công ty bảo hiểm không khắc phục được các vấn đề trong suốt thời gian qua, ngay cả sau khi nhận được báo cáo về lỗ hổng, cho thấy sự thiếu hụt nghiêm trọng về các biện pháp bảo mật dữ liệu và giảm thiểu rủi ro mà cơ quan quản lý đã quyết định áp dụng hình phạt hành chính 3 triệu USD.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/cong-ty-bao-hiem-bi-phat-3-trieu-usd-vi-tiet-lo-du-lieu-cua-650-nghin-khach-hang-trong-hai-nam
