美国汽车保险价格比较网站RateForce泄露大量PII数据

RateForce是一个在线比较汽车保险报价的平台,自2014年以来已拥有近1100万个报价。泄露的数据库包含惊人的96175个文件夹,其中包含255756条记录,总大小为93.93GB。

大规模数据泄露事件曝光,超过25万份文件被泄露,其中包含数千名美国公民的个人和敏感信息。

此次泄露事件持续了至少两周,涉及一个不安全的数据库,其中包含各种文件的扫描和图像,包括车辆登记、驾驶执照、保险卡、车辆所有权和州医疗补助健康保险卡。

该漏洞最初是由安全研究员Jeremiah Fowler发现的,他偶然发现了暴露的数据库。经过进一步调查,发现与数据库中列出的所有保单相关的主要保险公司是USA Underwriters。

考虑到数据泄露的严重性,研究人员立即通过电子邮件联系美国保险商,并附上了一份负责任的披露通知。然而,尽管多次尝试,研究人员仍没有收到任何回应。

福勒亲自处理此事,设法通过电话联系了美国保险商的某人,并强调了情况的紧迫性。通话结束后,数据库最终在两小时内得到了保护并限制公众访问。

当福勒收到一个自称是底特律警察局侦探的人发来的语音邮件时,故事发生了意想不到的转折,试图提出一些问题。

“我搜索了被指控侦探的姓名和电话号码,LinkedIn帐户与美国保险商员工的独特且不常见的名字相匹配。我回了电话,询问此人是否是美国保险商的员工或附属机构,每次的答案都是“否”,”福勒在给vpnMentor的报告中详细说明。

此外,该侦探还提到,名为RateForce的第三方供应商是受感染数据库的所有者。这一事件与2020年11月的事件有些相似,当时保险软件解决方案Vertafore暴露了2770万德克萨斯州司机的许可证详细信息。

RateForce是一个促进汽车保险报价在线比较的平台,自2014年以来已拥有近1100万个报价。2021年,该公司在著名的Inc. 5000家保险行业增长最快的私营公司名单中排名第二。这一发现表明,此次违规行为可能影响了大量使用RateForce服务的个人。

泄露的记录显示,存在大量销售保单的独立保险代理人。看来大部分文件都来自代表客户购买保险的机构和汽车经销商。虽然大多数身份证件属于密歇根州的个人,但也观察到来自乔治亚州、亚利桑那州和弗吉尼亚州的驾照。

该数据库包含惊人的96175个文件夹,其中包含255756条记录,总大小为93.93GB。这些文件夹包含保单卡、驾驶执照(正面和背面),在某些情况下还包含其他文件,例如汽车贷款信息、州登记、医疗补助或健康保险卡、公用事业账单以及显示活跃账户的银行信件。

此外,此次泄露还暴露了客户和申请人的姓名、家庭住址、电话号码、驾驶执照号码、车辆识别号码(VIN)和保险单详细信息。令人震惊的是,包含汽车经销商信息(包括EIN纳税识别号)的销售记录也遭到泄露,有些记录甚至包含纯文本形式的买家社会安全号码。

虽然USA Underwriters最初被认为是暴露数据库的所有者,但后来证实该数据库属于RateForce,表明有第三方供应商参与其中。

USA Underwriters澄清称,他们聘请了一家独立的IT公司来管理其基础设施,并且不承担管理受损数据库的任何责任。此事件提醒人们与第三方供应商相关的风险,并强调在处理敏感客户信息时需要采取严格的安全措施和监督。

发表评论

评论已关闭。

相关文章