Une startup d’insurtech a exposé des milliers d’applications d’assurance sensibles – TechCrunch
Une faille de sécurité dans la startup de technologie d’assurance BackNine a exposé des centaines de milliers d’applications d’assurance après qu’un de ses serveurs cloud ait été laissé sans protection sur Internet.
BackNine est peut-être une entreprise que vous ne connaissez pas, mais elle a peut-être traité vos informations personnelles si vous avez fait une demande d’assurance au cours des dernières années. La société californienne crée un logiciel de back-office pour aider les plus grandes compagnies d’assurance à vendre et à maintenir des polices d’assurance vie et invalidité. Il propose également un formulaire Web de devis en marque blanche pour les planificateurs financiers plus petits ou indépendants qui vendent des régimes d’assurance via leurs propres sites Web.
Mais l’un des serveurs de stockage de l’entreprise, hébergé sur le cloud d’Amazon, était mal configuré pour permettre à quiconque d’accéder aux 711 000 fichiers à l’intérieur, y compris les demandes d’assurance remplies contenant des informations personnelles et médicales très sensibles sur le demandeur et sa famille. Il contenait également des images de signatures individuelles ainsi que d’autres fichiers internes de BackNine.
Parmi les documents examinés, TechCrunch a trouvé des informations de contact, telles que les noms complets, les adresses et les numéros de téléphone, mais aussi les numéros de sécurité sociale, les diagnostics médicaux, les médicaments pris et les questionnaires détaillés remplis sur la santé d’un demandeur, passée et présente. D’autres fichiers comprenaient des résultats de laboratoire et de tests, tels que des analyses de sang et des électrocardiogrammes. Certaines applications contenaient également des numéros de permis de conduire.
Les documents exposés remontent à 2015, et pas plus tard que ce mois-ci.
Étant donné que les serveurs de stockage Amazon, appelés compartiments, sont privés par défaut, une personne ayant le contrôle des compartiments doit avoir modifié ses autorisations en public. Aucune des données n’a été cryptée.
Chercheur en sécurité Bob Diachenko a trouvé le compartiment de stockage exposé et a envoyé par e-mail les détails de la défaillance à l’entreprise début juin, mais après avoir reçu une réponse initiale, il n’a pas eu de réponse et le seau est resté ouvert.
Nous avons contacté le vice-président de BackNine, Reid Tattersall, avec qui Diachenko était en contact et ignoré. TechCrunch a également été ignoré. Mais quelques minutes après avoir fourni à Tattersall – et à lui seul – le nom du compartiment exposé, les données ont été verrouillées. TechCrunch n’a pas encore reçu de réponse de Tattersall, ou de son père Mark, directeur général de l’entreprise, qui a été copié sur un e-mail ultérieur.
TechCrunch a demandé à Tattersall si l’entreprise avait alerté les autorités locales conformément aux lois de notification des violations de données de l’État, ou si l’entreprise avait l’intention d’informer les personnes concernées dont les données ont été exposées. Nous n’avons pas reçu de réponse. Les entreprises peuvent faire face à de lourdes sanctions financières et civiles pour ne pas avoir divulgué un incident de cybersécurité.
BackNine travaille avec certains des plus grands assureurs américains. Bon nombre des demandes d’assurance trouvées dans le compartiment exposé étaient pour AIG, TransAmerica, John Hancock, Lincoln Financial Group et Prudential. Contactés avant la publication, les porte-parole des géants de l’assurance n’ont fait aucun commentaire.
Lire la suite:
