Шведское Управление по защите конфиденциальности (IMY) оштрафовало страховую компанию Trygg-Hansa на сумму 3 миллиона долларов (290 миллионов рублей) за утечку чувствительных персональных данных сотен тысяч клиентов через онлайн-портал компании.
Trygg-Hansa предоставляет страховые услуги для физических лиц, частных компаний и государственных организаций, а также занимается управлением активами и инвестиционным консалтингом.
Расследование IMY было инициировано после жалобы одного из клиентов Trygg-Hansa, который обнаружил, что через URL-адреса в почтовых или смс-рассылках с предложениями страховки внезапно можно получить доступ ко всей внутренней базе данных компании.
Управление подтвердило, что доступ к базе данных был открыт без аутентификации и можно было просматривать конфиденциальные документы других лиц, всего-навсего меняя идентификатор клиента в ссылке.
В общей сложности потенциальной утечке подверглись данные около 650 тысяч клиентов, в том числе их:
- персональные данные;
- информация о состоянии здоровья;
- детали страховых случаев;
- финансовая информация;
- контактные данные;
- номер социального страхования;
- данные о страховках.
Что ещё хуже, по информации IMY, неавторизованный доступ к этим сведениям был открыт на протяжении более двух лет, так что любой желающий, столь же внимательный, как и клиент компании обратившийся в IMY, мог получить свободный доступ ко всем этим данным.
IMY подтвердила как минимум 202 случая неавторизованного доступа к персональным данным клиентов, но реальное число может быть значительно больше.
По словам регулятора, страховщик должен был обнаружить и устранить уязвимость ещё на этапе внедрения данной системы, а также в течение всего длительного периода её эксплуатации. Неспособность это сделать указывает на серьёзные недостатки в обеспечении безопасности данных, за что IMY и был наложен штраф в размере трёх миллионов долларов.