保险技术初创公司 BackNine 的一个云服务器在互联网上未受到保护后,安全漏洞暴露了数十万个保险应用程序。
BackNine 可能是您不熟悉的公司,但如果您在过去几年申请保险,它可能已经处理了您的个人信息。这家总部位于加利福尼亚的公司构建后台软件,以帮助更大的保险公司销售和维护人寿和伤残保险单。它还为通过自己的网站销售保险计划的小型或独立理财规划师提供白标报价网络表格。
但该公司的其中一台存储服务器托管在亚马逊的云上,配置错误,任何人都可以访问其中的 711,000 个文件,包括已完成的保险申请,其中包含申请人及其家人的高度敏感的个人和医疗信息。它还包含个人签名的图像以及其他 BackNine 内部文件。
在审查的文件中,TechCrunch 找到了联系信息,例如全名、地址和电话号码,还有社会安全号码、医疗诊断、服用的药物以及有关申请人过去和现在健康状况的详细填写问卷。其他文件包括实验室和测试结果,例如血液检查和心电图。一些应用程序还包含驾驶执照号码。
暴露的文件可以追溯到 2015 年,最近的一次是本月。
由于 Amazon 存储服务器(称为存储桶)在默认情况下是私有的,因此控制存储桶的人必须已将其权限更改为公开。没有任何数据被加密。
安全研究员鲍勃·迪亚琴科 (Bob Diachenko)于 6月初发现了暴露的存储桶,并通过电子邮件将失效的详细信息通过电子邮件发送给公司,但在收到初步回复后,他没有收到回复,存储桶保持打开状态。
我们联系了 BackNine 的副总裁 Reid Tattersall,Diachenko 与他有过接触但被忽略了。TechCrunch 也被忽略了。但是在向 Tattersall 提供暴露的存储桶名称后几分钟内,数据就被锁定了。TechCrunch 尚未收到 Tattersall 或公司首席执行官的父亲马克的回复,后者在后来的电子邮件中被复制。
TechCrunch 询问 Tattersall,该公司是否已根据州数据泄露通知法通知地方当局,或者该公司是否有任何计划通知数据泄露的受影响个人。我们没有收到答复。公司可能因未能披露网络安全事件而面临严厉的经济和民事处罚。
BackNine 与美国一些最大的保险公司合作。在暴露的桶中发现的许多保险申请是针对 AIG、TransAmerica、John Hancock、Lincoln Financial Group 和 Prudential。在发布之前,保险巨头的发言人没有发表评论。
