与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

NAS配置不当 保险公司大量敏感数据泄露

发布时间:2018-02-26 来源:NAS配置不当 保险公司大量敏感数据泄露 浏览次数:9992次

客户隐私的丢失让我们想起了信用修复和营销行业以前出现过的信息泄露情况,UpGuard 网络风险团队现在要谈一谈美国马里兰联合保险协会(MDJIA)的泄露案例,这是马里兰州一个提供财产保险业务的私营项目,因存储设备的错误配置,将数千客户的信息泄露到网上。此次数据曝光再次告诫我们,高度敏感的个人身份信息可能泄露到网络,在这个案例中,数据就是通过一个联网设备的开放端口泄露。


与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。

由于误配置的问题,企业势必要投入足够的资源保护数据天锐绿盾数据防泄密系统可以是一套从源头上保障数据安全和使用安全的软件系统。此次外部平台访问凭证的曝光再次突显了第三方厂商与业务伙伴共享信息的潜在威胁。

事件的发现

2018119日,UpGuard网络风险研究主任Chris Vickery留意到了MDJIA,因为他发现了属于该保险协会的一个联网存储(NAS)设备。该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据,数据分为两部分——BBackup(包含大量保险客户和索赔人数据的环境)和Share(包含凭证和多个内部管理员数据的一个文件夹)。     

BBackupShare

通过曝光的数据可深入了解协会的业务,该协会是隶属于马里兰州,它与其他州的类似组织一样,其成立都源自联邦财产险规定FAIR(公平参保要求)计划的通过。

FAIR财产险政策是什么?而像MDJIA这样的组织如何满足其要求呢?FAIR政策的目的是以投保人索偿记录保护财产所有者,或是那些住在易遭受自然灾害区域的人。许多这类财产所有者由于不符合某条政策要求,投保风险过大,而被保险公司认为是不符合条件的申请人。因而,FAIR政策为那些易被保险公司拒绝的人提供了一个可以接受的基本保险类别。虽然像MDJIA这样的覆盖全州的保险协会并不是公共机构,但是州政府规定了私募保险基金FAIR“市场共享计划”的承保范围,且其收入须回投到项目中。协会由所有市场上的保险公司自愿组成,这些公司都有执照,而且都参与撰写了马里兰州的基本财产险,业主保险和多重风险财产险条款。

在马里兰州,这意味着该州所有的保险公司都要向JIA协会捐资,而后者反过来帮助那些容易被拒保的财产所有者。遗憾的是,名为Live的备份子文件夹曝光后,数以千计的此类易被拒保的客户也从这个未受保护的存储设备曝光了。

Live子文件夹内含文件

BBackup内包含大量文件,都是面向客户的JIA协会IT运营文件,从投保申请到索偿合同。这些数据包含了大量个人的身份识别信息。一个60GB的文件夹“appgen”中就包含了是个子文件夹,其中有2012年到现在保存的175000多个文件。一个类似的叫“DU”的子文件夹,包含149000个文件,都是申请人姓名,地址和电话号码之类的信息。

MDJIA内部客户文件

财产检查报告和索赔提交材料,如财产受损报告,则提供了更多客户的细节信息。然而,最麻烦的是appgen”文件夹中的社保号,以及保险单号信息,还有显示完整银行卡号的支票影像。

推荐新闻

FBI 网站被入侵,数据被公开后遭黑客嘲讽

2017-01-10

近日,FBI 遭遇黑客打脸,不仅网站被黑,网站数据被直接公布在网上,而且入侵者还通过社交网络公开表达了自己略带嘲讽...

大数据泄露带来的影响恶劣,但大数据仍很有价值

1970-01-01

现在的社会是一个高速发展的社会,科技发达,信息流通,人们之间的交流越来越密切,生活也越来越方便,大数据就是这个高科...

全球知名的系统维护软件CCleaner被黑,需要如何数据防泄密呢?

2017-09-20

如果你对CCleaner情有独钟,又在8月15日至9月12日之间,下载或更新了CCleaner,那么你就要注意看下...

希腊电信巨头遭黑客攻击 大量用户个人信息被泄露

2020-10-19

据欧联网援引欧联通讯社报道,希腊最大电信公司Cosmote于10月15日向媒体通报,该公司上个月发生了一起重...

上海图纸加密专家介绍:如何保障图纸信息安全

2018-03-14

关于图纸加密的必要性相信各个领域的朋友都保持着足够的严谨性,如今随着时代变化以及专业团队的技术革新,新推出的上海图...

Copyright ©2006-2021 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部