NAS配置不当 保险公司大量敏感数据泄露

点击：61 发布时间：2021-04-26 09:28:23

       客户隐私的丢失让我们想起了信用修复和营销行业以前出现过的信息泄露情况，UpGuard 网络风险团队现在要谈一谈美国马里兰联合保险协会（MDJIA）的泄露案例，这是马里兰州一个提供财产保险业务的私营项目，因存储设备的错误配置，将数千客户的信息泄露到网上。此次数据曝光再次告诫我们，高度敏感的个人身份信息可能泄露到网络，在这个案例中，数据就是通过一个联网设备的开放端口泄露。

       与被泄数据存储一起被曝光的是JIA客户文件和声明的备份，包括客户姓名，地址，电话号码，生日以及社保号，支票扫描件，银行账号和保险单号。除了这些重要的客户信息，这次泄露还曝光了一个内部访问凭证数列，它原本用于管理和控制MDJIA协会的运营，包括远程桌面，邮件，第三方用户名和密码。

       由于误配置的问题，企业势必要投入足够的资源保护数据，数据防泄密系统可以是一套从源头上保障数据安全和使用安全的软件系统。此次外部平台访问凭证的曝光再次突显了第三方厂商与业务伙伴共享信息的潜在威胁。

       事件的发现

       2018年1月19日，UpGuard网络风险研究主任Chris Vickery留意到了MDJIA，因为他发现了属于该保险协会的一个联网存储（NAS）设备。该设备通过一个开放端口与互联网连接，而它内含与协会IT运营的重要敏感数据，数据分为两部分——BBackup（包含大量保险客户和索赔人数据的环境）和Share（包含凭证和多个内部管理员数据的一个文件夹）。    

       BBackup和Share

       通过曝光的数据可深入了解协会的业务，该协会是隶属于马里兰州，它与其他州的类似组织一样，其成立都源自联邦财产险规定FAIR（公平参保要求）计划的通过。

       FAIR财产险政策是什么？而像MDJIA这样的组织如何满足其要求呢？FAIR政策的目的是以投保人索偿记录保护财产所有者，或是那些住在易遭受自然灾害区域的人。许多这类财产所有者由于不符合某条政策要求，投保风险过大，而被保险公司认为是不符合条件的申请人。因而，FAIR政策为那些易被保险公司拒绝的人提供了一个可以接受的基本保险类别。虽然像MDJIA这样的覆盖全州的保险协会并不是公共机构，但是州政府规定了私募保险基金FAIR“市场共享计划”的承保范围，且其收入须回投到项目中。协会由所有市场上的保险公司自愿组成，这些公司都有执照，而且都参与撰写了马里兰州的基本财产险，业主保险和多重风险财产险条款。

       在马里兰州，这意味着该州所有的保险公司都要向JIA协会捐资，而后者反过来帮助那些容易被拒保的财产所有者。遗憾的是，名为Live的备份子文件夹曝光后，数以千计的此类易被拒保的客户也从这个未受保护的存储设备曝光了。

       Live子文件夹内含文件

       BBackup内包含大量文件，都是面向客户的JIA协会IT运营文件，从投保申请到索偿合同。这些数据包含了大量个人的身份识别信息。一个60GB的文件夹“appgen”中就包含了是个子文件夹，其中有2012年到现在保存的175000多个文件。一个类似的叫“DU”的子文件夹，包含149000个文件，都是申请人姓名，地址和电话号码之类的信息。

       MDJIA内部客户文件

       财产检查报告和索赔提交材料，如财产受损报告，则提供了更多客户的细节信息。然而，最麻烦的是“appgen”文件夹中的社保号，以及保险单号信息，还有显示完整银行卡号的支票影像。