05 Sep 2023

Страховая компания два года рассылала информацию о своих клиентах в SMS и email

Редакторка новин MC.today

Шведскую страховую компанию Trygg-Hansa оштрафовали за то, что она более двух лет раскрывала личные данные своих клиентов. Их можно было найти на онлайн-портале оператора в разделе с ценовыми предложениями, пишет BleepingCopmputer. Редакция MC.today пересказывает детали.

Frightened teenager or young woman using smart mobile cell phone as internet cyberbullying by message stalked abused victim.

Шведский орган по защите конфиденциальности (IMY) оштрафовал страховую компанию Trygg-Hansa на $3 млн за обнародование на ее онлайн-портале конфиденциальных данных, принадлежащих сотням тысяч клиентов.

IMY начали расследование после сообщения одного из них, а именно фирмы Moderna Försäkringar. Ее специалисты обнаружили, что доступ к конфиденциальным данным можно получить после перехода по одной из ссылок на страницах с ценовыми предложениями.

Практичний інтенсивний курс з дизайну - Design Booster від Powercode academy.

Навчіться дизайну з нуля за 3 місяці і заробляйте перші $1000, навіть якщо ви не маєте креативного мислення, смаку або вміння малювати. Отримайте практичні навички, необхідні для успішної кар'єри в дизайні.

Зарееструватися

В IMY подтвердили, что серверная база была доступна без авторизации пользователя, и фактически любой мог просматривать частную информацию других лиц. Речь идет о личных данных примерно 650 тыс. клиентов Trygg-Hansa.

Ценовые предложения периодически рассылали имеющимся или потенциальным клиентам через SMS или электронную почту. Все они содержали ссылку, по которой можно было войти в базу.

Итак, раскрытыми оказались личные и финансовые данные пользователей страховых услуг, их контакты, информация о состоянии здоровья, номерах социального страхования, условиях обслуживания и так далее.

В ходе расследования обнаружили, что эта уязвимость на портале Trygg-Hansa существовала более двух лет. В IMY подтвердили по меньшей мере 202 случая, когда информацию клиентов просматривали неавторизованные лица, то есть не сотрудники и не владельцы личных кабинетов. Эти данные могли использовать для фишинга, шантажа и так далее

По предположениям, в Trygg-Hansa знали о проблеме и вероятности утечки, однако не спешили устранять этот недостаток. Из-за нарушений безопасности и отсутствия мер по уменьшению рисков регулятор решил наложить на страховую административный штраф в размере $3 млн.