İsveç Gizlilik Koruma Otoritesi (IMY), yüz binlerce müşteriye ait hassas verileri çevrimiçi portalında ifşa ettiği için sigorta şirketi Trygg-Hansa’ya 3 milyon dolar para cezası verdi.
Trygg-Hansa bireylere, özel şirketlere ve kamu kuruluşlarına yönelik bir sigorta şirketidir ve aynı zamanda bir varlık yönetimi ve yatırım danışmanlığı firmasıdır.
IMY, müşterilere gönderilen teklif sayfalarındaki bağlantıları takip ederek sigorta şirketinin arka ucuna erişmenin mümkün olduğunu keşfeden Moderna Försäkringar (şu anda Trygg-Hansa’nın bir parçası) müşterisinden bir ihbar aldıktan sonra firma hakkında bir soruşturma başlattı.
Bunlar, tüm mevcut veya potansiyel müşterilere, Trygg-Hansa’nın web sitesindeki bir teklif sayfasına benzersiz bir web adresi (URL) içeren SMS veya e-posta yoluyla gönderilir.
IMY, arka uç veritabanına kimlik doğrulama gerektirmeden erişilebildiğini ve URL’de sıralı olan müşteri kimlik numarasını değiştirerek diğer kişilerin özel belgelerine göz atabildiklerini doğruladı.
Yaklaşık 650.000 müşteri etkilendi. Açığa çıkan bilgiler şunları içeriyordu:
- Kişisel veri
- Sağlık Bilgisi
- Durum ayrıntıları
- Finansal bilgi
- İletişim detayları
- Sosyal Güvenlik numarası
- Sigorta ayrıntıları
Daha da kötüsü IMY, verilerin Ekim 2018 ile Şubat 2021 arasında iki yıldan fazla bir süre boyunca Trygg-Hansa portalı aracılığıyla yetkisiz taraflara ifşa edildiğini belirledi.
Bu kadar kapsamlı bir maruz kalma süresi, birisinin kusuru bulma ve hassas bilgileri toplamak için bundan yararlanma olasılığını artırır.
Bu tür veriler daha sonra siber suçlulara satılabilir ve dolandırıcılık, kimlik avı ve hatta açığa çıkan kişilere şantaj yapmak için kullanılabilir.
IMY, kişisel bilgilerinin yetkisiz kullanıcılara ifşa edildiği en az 202 müşteri vakasını doğrulayabildi, ancak bu buzdağının görünen kısmı olabilir.
IMY’ye göre, sigorta şirketinin kusurla ilgili raporlar aldıktan sonra bile bunca zaman boyunca sorunları çözememesi, veri güvenliği ve risk azaltma tedbirlerinde ciddi bir eksiklik olduğunu gösteriyor ve düzenleyici kurum bunun için 3 milyon dolarlık idari ceza uygulamaya karar verdi.
Trygg-Hansa davasına ilişkin IMY kararının tamamına buradan ulaşabilirsiniz.