Allstate страхуется от иска из-за передачи личных данных в открытом виде

Анонимный читатель ссылается на отчёт The Register: штат Нью-Йорк подал иск против Allstate Insurance за то, что их вебсайты были настолько плохо спроектированы, что предоставляли персональную информацию в открытом тексте любому, кто решил её найти. Эти данные были взяты из бизнес-подразделения National General компании Allstate, которое обслуживало сайт для потребителей, желающих получить предварительный расчёт стоимости полиса. Для выполнения этого задания пользователям требовалось ввести своё имя и адрес. После ввода этой информации сайт автоматически искал данные в базе LexisNexis Risk Solutions по любому человеку, проживающему по указанному адресу.

Результаты этого поиска затем отображались на экране вместе с номером водительского удостоверения (DLN) и именами других лиц, которые, как предполагалось, проживали по тому же адресу. Каждый из этих числовых кодов также отображался полностью.

Безусловно, злоумышленники воспользовались этой системой для сбора персональной информации с целью мошенничества. "National General намеренно создала эти инструменты так, чтобы они автоматически заполняли полные номера водительских удостоверений в открытом тексте на сайтах для предварительного расчёта стоимости полисов", говорится в судебных документах [PDF]. "Неудивительно, что атакующие заметили эту уязвимость и стали целенаправленно использовать эти инструменты как простой способ получения номеров водительских удостоверений многих жителей Нью-Йорка", — указывается в иске. Эти цифровые преступники затем использовали данную информацию для подачи ложных заявлений о компенсациях за пандемию и безработицу.

К моменту, когда страховщик смог разобраться с этой ситуацией, мошенники успели создать боты, которые собрали номера водительских удостоверений минимум 12 000 человек со страниц предварительного расчёта стоимости полисов.