Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

NAS配置不当 保险公司大量敏感数据泄露

Release time:2018-02-26 source:NAS配置不当 保险公司大量敏感数据泄露 Browse times:3183

客户隐私的丢失让我们想起了信用修复和营销行业以前出现过的信息泄露情况,UpGuard 网络风险团队现在要谈一谈美国马里兰联合保险协会(MDJIA)的泄露案例,这是马里兰州一个提供财产保险业务的私营项目,因存储设备的错误配置,将数千客户的信息泄露到网上。此次数据曝光再次告诫我们,高度敏感的个人身份信息可能泄露到网络,在这个案例中,数据就是通过一个联网设备的开放端口泄露。


与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。

由于误配置的问题,企业势必要投入足够的资源保护数据天锐绿盾数据防泄密系统可以是一套从源头上保障数据安全和使用安全的软件系统。此次外部平台访问凭证的曝光再次突显了第三方厂商与业务伙伴共享信息的潜在威胁。

事件的发现

2018119日,UpGuard网络风险研究主任Chris Vickery留意到了MDJIA,因为他发现了属于该保险协会的一个联网存储(NAS)设备。该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据,数据分为两部分——BBackup(包含大量保险客户和索赔人数据的环境)和Share(包含凭证和多个内部管理员数据的一个文件夹)。     

BBackupShare

通过曝光的数据可深入了解协会的业务,该协会是隶属于马里兰州,它与其他州的类似组织一样,其成立都源自联邦财产险规定FAIR(公平参保要求)计划的通过。

FAIR财产险政策是什么?而像MDJIA这样的组织如何满足其要求呢?FAIR政策的目的是以投保人索偿记录保护财产所有者,或是那些住在易遭受自然灾害区域的人。许多这类财产所有者由于不符合某条政策要求,投保风险过大,而被保险公司认为是不符合条件的申请人。因而,FAIR政策为那些易被保险公司拒绝的人提供了一个可以接受的基本保险类别。虽然像MDJIA这样的覆盖全州的保险协会并不是公共机构,但是州政府规定了私募保险基金FAIR“市场共享计划”的承保范围,且其收入须回投到项目中。协会由所有市场上的保险公司自愿组成,这些公司都有执照,而且都参与撰写了马里兰州的基本财产险,业主保险和多重风险财产险条款。

在马里兰州,这意味着该州所有的保险公司都要向JIA协会捐资,而后者反过来帮助那些容易被拒保的财产所有者。遗憾的是,名为Live的备份子文件夹曝光后,数以千计的此类易被拒保的客户也从这个未受保护的存储设备曝光了。

Live子文件夹内含文件

BBackup内包含大量文件,都是面向客户的JIA协会IT运营文件,从投保申请到索偿合同。这些数据包含了大量个人的身份识别信息。一个60GB的文件夹“appgen”中就包含了是个子文件夹,其中有2012年到现在保存的175000多个文件。一个类似的叫“DU”的子文件夹,包含149000个文件,都是申请人姓名,地址和电话号码之类的信息。

MDJIA内部客户文件

财产检查报告和索赔提交材料,如财产受损报告,则提供了更多客户的细节信息。然而,最麻烦的是appgen”文件夹中的社保号,以及保险单号信息,还有显示完整银行卡号的支票影像。

Recommended news

汇丰银行再次身陷数据泄露,部分客户个人信息被窃取

2018-11-08

据外媒报道,汇丰银行(HSBC Bank)似乎再一次成为了数据泄露事件的受害者,部分客户的个人和财务信息已经被证实...

科技巨头再暴数据泄露 苹果称数百名中国用户Apple ID被盗

2018-10-18

苹果公司周二表示,“少数”中国用户的Apple ID被盗,账户被盗用进行支付。 早些时候,媒体报道称,...

Mozilla发布Firefox Monitor隐私数据泄露通知服务

2018-09-26

自Mozilla宣布向Firefox用户提供数据泄露通知系统已经过去将近一年了,现在测试过程基本结束,Mozill...

新型勒索病毒BadRabbit突袭东欧 360安全卫士支招防御

2017-10-27

据外媒报道,近日一款新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯的企业及基础设施受灾严重。与此前席卷欧...

法国一家工程公司65GB机密文件被盗,涉及核电站、监狱、电车项目

2018-11-05

据外媒报道,在几个月前发生的一场网络攻击中,超过1万份与法国核电站、监狱及电车网络相关文件加密的机密...

Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top