与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

NAS配置不当 保险公司大量敏感数据泄露

发布时间:2018-02-26 来源:NAS配置不当 保险公司大量敏感数据泄露 浏览次数:1069次

客户隐私的丢失让我们想起了信用修复和营销行业以前出现过的信息泄露情况,UpGuard 网络风险团队现在要谈一谈美国马里兰联合保险协会(MDJIA)的泄露案例,这是马里兰州一个提供财产保险业务的私营项目,因存储设备的错误配置,将数千客户的信息泄露到网上。此次数据曝光再次告诫我们,高度敏感的个人身份信息可能泄露到网络,在这个案例中,数据就是通过一个联网设备的开放端口泄露。


与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。

由于误配置的问题,企业势必要投入足够的资源保护数据天锐绿盾数据防泄密系统可以是一套从源头上保障数据安全和使用安全的软件系统。此次外部平台访问凭证的曝光再次突显了第三方厂商与业务伙伴共享信息的潜在威胁。

事件的发现

2018119日,UpGuard网络风险研究主任Chris Vickery留意到了MDJIA,因为他发现了属于该保险协会的一个联网存储(NAS)设备。该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据,数据分为两部分——BBackup(包含大量保险客户和索赔人数据的环境)和Share(包含凭证和多个内部管理员数据的一个文件夹)。     

BBackupShare

通过曝光的数据可深入了解协会的业务,该协会是隶属于马里兰州,它与其他州的类似组织一样,其成立都源自联邦财产险规定FAIR(公平参保要求)计划的通过。

FAIR财产险政策是什么?而像MDJIA这样的组织如何满足其要求呢?FAIR政策的目的是以投保人索偿记录保护财产所有者,或是那些住在易遭受自然灾害区域的人。许多这类财产所有者由于不符合某条政策要求,投保风险过大,而被保险公司认为是不符合条件的申请人。因而,FAIR政策为那些易被保险公司拒绝的人提供了一个可以接受的基本保险类别。虽然像MDJIA这样的覆盖全州的保险协会并不是公共机构,但是州政府规定了私募保险基金FAIR“市场共享计划”的承保范围,且其收入须回投到项目中。协会由所有市场上的保险公司自愿组成,这些公司都有执照,而且都参与撰写了马里兰州的基本财产险,业主保险和多重风险财产险条款。

在马里兰州,这意味着该州所有的保险公司都要向JIA协会捐资,而后者反过来帮助那些容易被拒保的财产所有者。遗憾的是,名为Live的备份子文件夹曝光后,数以千计的此类易被拒保的客户也从这个未受保护的存储设备曝光了。

Live子文件夹内含文件

BBackup内包含大量文件,都是面向客户的JIA协会IT运营文件,从投保申请到索偿合同。这些数据包含了大量个人的身份识别信息。一个60GB的文件夹“appgen”中就包含了是个子文件夹,其中有2012年到现在保存的175000多个文件。一个类似的叫“DU”的子文件夹,包含149000个文件,都是申请人姓名,地址和电话号码之类的信息。

MDJIA内部客户文件

财产检查报告和索赔提交材料,如财产受损报告,则提供了更多客户的细节信息。然而,最麻烦的是appgen”文件夹中的社保号,以及保险单号信息,还有显示完整银行卡号的支票影像。

推荐新闻

越南黑客有多厉害?单枪匹马干翻珀斯机场

2017-12-13

越南一名31岁黑客(名为Le Duc Hoang Hai)被指控2016年3月使用第三方承包商的凭证成功入侵澳大利...

剑桥分析公司破产 Facebook数据泄露门主角倒闭

2018-05-03

剑桥分析公司破产 Facebook数据泄露门主角倒闭 凤凰网科技讯 据CNBC北京时间5月3日报道,政治...

澳大利亚人力资源公司PageUp感染恶意软件,超200万用户信息泄露

2018-06-08

据外媒ZDNet报道,总部位于澳大利亚的人力资源(Human Resource,HR)软件公司P...

工信部:1亿以上用户信息泄露为特大网络安全事件

2017-11-27

网络安全突发事件预警制度建立 1亿以上用户信息泄露为特大事件 本报讯 工信部近日对外公...

搞事情!美军事数据库遭泄,网络监控数据曝光!

2017-12-18

UpGuard公司安全研究员克里斯·维克瑞表示,他发现三台隶属于美国国防部(简称DoD)的错误配置Amazon S...

Copyright ©2006-2017 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部