Недопустимая халатность: Trygg-Hansa оштрафована на $3 млн за критическую утечку данных

Недопустимая халатность: Trygg-Hansa оштрафована на $3 млн за критическую утечку данных

Конфиденциальная информация 650 тысяч человек долгое время лежала прямо на виду.

image

Шведское Управление по защите конфиденциальности (IMY) оштрафовало страховую компанию Trygg-Hansa на сумму 3 миллиона долларов (290 миллионов рублей) за утечку чувствительных персональных данных сотен тысяч клиентов через онлайн-портал компании.

Trygg-Hansa предоставляет страховые услуги для физических лиц, частных компаний и государственных организаций, а также занимается управлением активами и инвестиционным консалтингом.

Расследование IMY было инициировано после жалобы одного из клиентов Trygg-Hansa, который обнаружил, что через URL-адреса в почтовых или смс-рассылках с предложениями страховки внезапно можно получить доступ ко всей внутренней базе данных компании.

Управление подтвердило, что доступ к базе данных был открыт без аутентификации и можно было просматривать конфиденциальные документы других лиц, всего-навсего меняя идентификатор клиента в ссылке.

В общей сложности потенциальной утечке подверглись данные около 650 тысяч клиентов, в том числе их:

  • персональные данные;
  • информация о состоянии здоровья;
  • детали страховых случаев;
  • финансовая информация;
  • контактные данные;
  • номер социального страхования;
  • данные о страховках.

Что ещё хуже, по информации IMY, неавторизованный доступ к этим сведениям был открыт на протяжении более двух лет, так что любой желающий, столь же внимательный, как и клиент компании обратившийся в IMY, мог получить свободный доступ ко всем этим данным.

IMY подтвердила как минимум 202 случая неавторизованного доступа к персональным данным клиентов, но реальное число может быть значительно больше.

По словам регулятора, страховщик должен был обнаружить и устранить уязвимость ещё на этапе внедрения данной системы, а также в течение всего длительного периода её эксплуатации. Неспособность это сделать указывает на серьёзные недостатки в обеспечении безопасности данных, за что IMY и был наложен штраф в размере трёх миллионов долларов.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь