与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

NAS配置不当 保险公司大量敏感数据泄露

发布时间:2018-02-26 来源:NAS配置不当 保险公司大量敏感数据泄露 浏览次数:2147次

客户隐私的丢失让我们想起了信用修复和营销行业以前出现过的信息泄露情况,UpGuard 网络风险团队现在要谈一谈美国马里兰联合保险协会(MDJIA)的泄露案例,这是马里兰州一个提供财产保险业务的私营项目,因存储设备的错误配置,将数千客户的信息泄露到网上。此次数据曝光再次告诫我们,高度敏感的个人身份信息可能泄露到网络,在这个案例中,数据就是通过一个联网设备的开放端口泄露。


与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。

由于误配置的问题,企业势必要投入足够的资源保护数据天锐绿盾数据防泄密系统可以是一套从源头上保障数据安全和使用安全的软件系统。此次外部平台访问凭证的曝光再次突显了第三方厂商与业务伙伴共享信息的潜在威胁。

事件的发现

2018119日,UpGuard网络风险研究主任Chris Vickery留意到了MDJIA,因为他发现了属于该保险协会的一个联网存储(NAS)设备。该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据,数据分为两部分——BBackup(包含大量保险客户和索赔人数据的环境)和Share(包含凭证和多个内部管理员数据的一个文件夹)。     

BBackupShare

通过曝光的数据可深入了解协会的业务,该协会是隶属于马里兰州,它与其他州的类似组织一样,其成立都源自联邦财产险规定FAIR(公平参保要求)计划的通过。

FAIR财产险政策是什么?而像MDJIA这样的组织如何满足其要求呢?FAIR政策的目的是以投保人索偿记录保护财产所有者,或是那些住在易遭受自然灾害区域的人。许多这类财产所有者由于不符合某条政策要求,投保风险过大,而被保险公司认为是不符合条件的申请人。因而,FAIR政策为那些易被保险公司拒绝的人提供了一个可以接受的基本保险类别。虽然像MDJIA这样的覆盖全州的保险协会并不是公共机构,但是州政府规定了私募保险基金FAIR“市场共享计划”的承保范围,且其收入须回投到项目中。协会由所有市场上的保险公司自愿组成,这些公司都有执照,而且都参与撰写了马里兰州的基本财产险,业主保险和多重风险财产险条款。

在马里兰州,这意味着该州所有的保险公司都要向JIA协会捐资,而后者反过来帮助那些容易被拒保的财产所有者。遗憾的是,名为Live的备份子文件夹曝光后,数以千计的此类易被拒保的客户也从这个未受保护的存储设备曝光了。

Live子文件夹内含文件

BBackup内包含大量文件,都是面向客户的JIA协会IT运营文件,从投保申请到索偿合同。这些数据包含了大量个人的身份识别信息。一个60GB的文件夹“appgen”中就包含了是个子文件夹,其中有2012年到现在保存的175000多个文件。一个类似的叫“DU”的子文件夹,包含149000个文件,都是申请人姓名,地址和电话号码之类的信息。

MDJIA内部客户文件

财产检查报告和索赔提交材料,如财产受损报告,则提供了更多客户的细节信息。然而,最麻烦的是appgen”文件夹中的社保号,以及保险单号信息,还有显示完整银行卡号的支票影像。

推荐新闻

41Gb、14亿个登录凭证 史上信息量最大的数据库在线曝光

2018-01-03

4IQ是一家位于美国洛斯加托斯的网络情报技术公司,其整合了网络、社交媒体、暗网等的内外部OSINT源,主要为国防和...

苏宁易付宝用户信息或遭泄漏 无购物却被恶性催款

2017-10-31

互联网消费金融爆发式增长的当下,如果管理不到位,用户的个人信息、隐私等随时将暴露在平台中,成为信息安全中的一大漏洞...

Mozilla发布Firefox Monitor隐私数据泄露通知服务

2018-09-26

自Mozilla宣布向Firefox用户提供数据泄露通知系统已经过去将近一年了,现在测试过程基本结束,Mozill...

必胜客官网遭入侵,支付卡信息可能泄露

2017-10-18

过去的一周,美国必胜客通知顾客由于网站遭到临时入侵,他们的支付卡信息和联系信息可能被盗。必胜客餐厅向用户发送邮件称...

台湾网络安全竞赛竟然奖励“病毒U盘”?

2018-01-15

据外媒报道,国家刑事调查局 ( CIB ) 向通过网络安全知识测试的公众奖励了250个U盘,随后该主办方陆续接到报...

Copyright ©2006-2017 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部