ABD Otomobil Sigortası Fiyat Karşılaştırma Sitesi RateForce Büyük PII Verilerini Sızdırdı


RateForce, araba sigortası tekliflerinin çevrimiçi olarak karşılaştırılmasını kolaylaştıran bir platformdur ve 2014’ten bu yana yaklaşık 11 milyon teklif almıştır.

Amerika Birleşik Devletleri’nden binlerce kişinin kişisel ve hassas bilgilerini içeren 250.000’den fazla belgeyi açığa çıkaran büyük bir veri ihlali gün ışığına çıktı.

En az iki hafta süren ihlal, araç kayıtları, sürücü belgeleri, sigorta kartları, araç unvanları ve devlet Medicaid sağlık sigortası kartları dahil olmak üzere çeşitli belgelerin taramalarını ve görüntülerini içeren güvenli olmayan bir veri tabanını içeriyordu.

İhlal ilk olarak, açığa çıkan veritabanına rastlayan güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedildi. Daha fazla araştırma yapıldığında, veri tabanında listelenen tüm poliçelerle ilişkili birincil sigortacının USA Underwriters olduğu ortaya çıktı.

Verilerin ifşa edilmesinin ciddiyetinden endişe duyan araştırmacı, sorumlu bir ifşa bildirimi ile derhal e-posta yoluyla USA Underwriters’a ulaştı. Ancak, birçok denemeye rağmen, araştırmacı yanıt alamadı.

Konuyu kendi eline alan Fowler, USA Underwriters’tan biriyle telefonla iletişime geçmeyi başardı ve durumun aciliyetini vurguladı. Görüşmenin ardından, veri tabanı nihayet güvenlik altına alındı ​​ve iki saat içinde halka açık erişime kapatıldı.

Fowler, Detroit Polisi’nden bir dedektif olduğunu iddia eden bir kişiden birkaç soru sormak isteyen bir sesli mesaj aldığında hikaye beklenmedik bir şekilde değişti.

“İddia edilen dedektifin adını ve telefon numarasını aradım ve bir USA Underwriters çalışanının aynı benzersiz ve sıra dışı adıyla eşleşen bir LinkedIn hesabı buldum. Aramayı yanıtladım ve kişinin USA Underwriters’ın bir çalışanı mı yoksa bir üyesi mi olduğunu sordum ve her seferinde yanıt “Hayır” oldu, Fowler vpnMentor’a verdiği raporda ayrıntılarıyla açıkladı.

Ayrıca, söz konusu dedektif, tehlikeye atılan veri tabanının RateForce adlı üçüncü taraf bir satıcının sahibi olduğundan bahsetmiştir. Bu olay, bir Sigorta Yazılımı Çözümü olan Vertafore’nin Kasım 2020’de 27,7 milyon Texas sürücüsünün lisans bilgilerini ifşa ettiği olaya biraz benziyor.

RateForce, araba sigortası tekliflerinin çevrimiçi olarak karşılaştırılmasını kolaylaştıran bir platformdur ve 2014’ten bu yana yaklaşık 11 milyon teklif almıştır. 2021’de şirket, sigorta endüstrisindeki en hızlı büyüyen özel şirketlerin prestijli Inc. 5000 listesinde ikinci sırada yer aldı. Bu açıklama, ihlalin RateForce hizmetlerini kullanan önemli sayıda kişiyi etkilemiş olabileceğini gösteriyor.

Ele geçirilen kayıtlar, poliçe satan önemli sayıda bağımsız sigorta acentesinin varlığını ortaya çıkardı. Belgelerin çoğunun, müşterileri adına sigorta yaptıran acente ve bayilerden geldiği anlaşılmaktadır. Kimlik belgelerinin çoğu Michigan’daki kişilere aitken, Georgia, Arizona ve Virginia’dan alınan ruhsatlar da gözlendi.

Veritabanı, toplam 93.93 GB boyutunda 255.756 kaydı barındıran şaşırtıcı bir 96.175 klasör içeriyordu. Bu klasörler sigorta poliçe kartları, sürücü belgeleri (önlü ve arkalı) ve bazı durumlarda otomobil kredisi bilgileri, devlet kayıtları, Medicaid veya sağlık sigortası kartları, elektrik faturaları ve aktif hesapları gösteren banka mektupları gibi ek belgeleri içeriyordu.

ABD Otomobil Sigortası Fiyat Karşılaştırma Sitesi RateForce Büyük PII Verilerini Sızdırdı
Sızan veri türü

Ayrıca ihlal, müşteri ve başvuranların adlarını, ev adreslerini, telefon numaralarını, ehliyet numaralarını, araç kimlik numaralarını (VIN’ler) ve sigorta poliçesi ayrıntılarını açığa çıkardı. Şaşırtıcı bir şekilde, EIN vergi kimlik numaraları da dahil olmak üzere otomobil satıcısı bilgilerini içeren satış kayıtları da ele geçirildi, hatta bazı kayıtlar alıcıların sosyal güvenlik numaralarını düz metin olarak içeriyordu.

Başlangıçta ABD Underwriters’ın açığa çıkan veri tabanının sahibi olduğu düşünülürken, daha sonra veri tabanının RateForce’a ait olduğu doğrulandı ve bu da üçüncü taraf bir satıcının işin içinde olduğunu gösteriyor.

USA Underwriters, altyapılarını yönetmek için ayrı bir BT şirketi tuttuklarını açıkladı ve ihlal edilen veri tabanının yönetimi için herhangi bir sorumluluk kabul etmedi. Bu olay, üçüncü taraf satıcılarla ilişkili riskleri hatırlatır ve hassas müşteri bilgilerini işlerken katı güvenlik önlemleri ve gözetim ihtiyacını vurgular.

  1. Latitude Finansal Veri İhlalinden Etkilenen 14 Milyon Kullanıcı
  2. General Motors, 90.000 sürücünün konumunu topladı
  3. FedEx kullanıcılarının pasaportları, kimlikleri ve ehliyetleri açığa çıktı
  4. MCNA Dental Sigortacısındaki Veri İhlalleri 9 Milyon Kullanıcıyı Etkiliyor
  5. Pakistan araç çağırma uygulaması BYKEA 400 milyon rekoru ifşa etti



Source link