A Autoridade Sueca para Proteção de Privacidade (IMY) multou a seguradora Trygg-Hansa em $3 milhões por expor em seu portal online dados sensíveis pertencentes a centenas de milhares de clientes.
Trygg-Hansa é uma seguradora para indivíduos, empresas privadas e organizações públicas, e também uma empresa de gerenciamento de ativos e consultoria de investimentos.
A IMY iniciou uma investigação sobre a empresa após receber uma denúncia de um cliente da Moderna Försäkringar (agora parte da Trygg-Hansa), que descobriu que era possível acessar o backend da seguradora seguindo links disponíveis em páginas de cotação enviadas aos clientes.
Estes são enviados a todos os clientes existentes ou potenciais via SMS ou email, contendo um endereço de web (URL) único para uma página de cotação no site da Trygg-Hansa.
A IMY confirmou que o banco de dados de backend era acessível sem necessidade de autenticação, e eles poderiam navegar documentos privados de outras pessoas modificando na URL o número de ID do cliente, que era sequencial.
Cerca de 650.000 clientes foram impactados.
As informações expostas incluíam:
Dados pessoais
Informações de saúde
Detalhes de condição
Informações financeiras
Detalhes de contato
Número da segurança social
Detalhes do seguro
Para piorar a situação, a IMY determinou que os dados foram expostos por meio do portal Trygg-Hansa para partes não autorizadas durante mais de dois anos, entre outubro de 2018 e fevereiro de 2021.
Um período tão extenso de exposição aumenta a probabilidade de alguém encontrar a falha e explorá-la para coletar informações sensíveis.
Esse tipo de dado pode então ser vendido para cibercriminosos e usado para golpes, phishing ou até mesmo extorsão aos indivíduos expostos.
A IMY conseguiu confirmar pelo menos 202 casos de clientes que tiveram suas informações pessoais expostas a usuários não autorizados, mas isso pode ser apenas a ponta do iceberg.
A falha da seguradora em remediar os problemas todo esse tempo, mesmo depois de receber relatos sobre a falha, segundo a IMY, indica uma falta grave de medidas de segurança de dados e mitigação de risco para as quais o regulador decidiu impor uma penalidade administrativa de $3M.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...