جریمه 11 میلیون دلاری نیویورک برای شرکت‌های گایکو و تراولرز

به گزارش کارگروه بین الملل خبرگزاری سایبربان، هکرها از شماره‌های سرقت‌شده برای ثبت درخواست‌های جعلی دریافت مزایای بیکاری در ایالت نیویورک استفاده کرده و در اوج همه‌گیری کووید-19 هزاران دلار به سرقت بردند.

لیتیا جیمز، دادستان کل نیویورک، و آدرین هریس، مدیر بخش خدمات مالی نیویورک، این دو شرکت را به دلیل «امنیت ضعیف داده‌ها» که به افشای اطلاعات حساس منجر شد، جریمه کردند.

شرکت‌های بیمه خودرو وب‌سایت‌هایی برای ارائه قیمت‌های بیمه به مشتریان بالقوه دارند.

این سایت‌ها معمولاً دارای قابلیتی هستند که اطلاعات کاربران را با استفاده از داده‌های واردشده به‌صورت خودکار تکمیل می‌کنند.

شرکت‌هایی مانند گایکو (Geico) و تراولرز (Travelers) با ارائه‌دهندگان داده‌های ثالث همکاری می‌کنند تا فرایند خرید بیمه را تسریع کرده و به‌صورت خودکار شماره گواهینامه رانندگی یا شماره شناسایی وسیله نقلیه افراد را وارد کنند.

در نوامبر 2020، هکرها با استفاده از قابلیت تکمیل خودکار در سامانه‌های گایکو توانستند به شماره گواهینامه رانندگی بیش از 116 هزار نفر از ساکنان نیویورک دسترسی پیدا کنند.

بیش از یک ماه بعد، گایکو افزایش درخواست‌های تکمیل‌شده اما ناتمام را کشف کرد.

در ژانویه 2021، این شرکت اقداماتی برای پنهان کردن شماره‌های گواهینامه رانندگی انجام داد و تیم امنیت سایبری آن شروع به بررسی دارک وب برای یافتن شواهدی از سرقت داده‌ها کرد.

آنها متوجه شدند که هکرها درباره نفوذ به سیستم گایکو و سرقت شماره‌های گواهینامه بحث می‌کنند.

در برخی موارد، هکرها با خرید بیمه‌نامه و ثبت ادعاهای جعلی به این شماره‌ها دسترسی پیدا کرده بودند.

بعدها مشخص شد که هکرها از یک روش دیگر از طریق رابط برنامه‌نویسی کاربردی (API) این شرکت برای دسترسی به اطلاعات استفاده کرده‌اند.

در فوریه 2021، این شرکت این حادثه را به دفتر دادستان کل نیویورک گزارش کرد، اما مقامات هشدار دادند که سامانه‌های آن همچنان آسیب‌پذیر هستند.

در مجموع، هکرها 135,414 شماره گواهینامه رانندگی را به سرقت بردند که حدود 116,611 مورد متعلق به ساکنان نیویورک بود.

این شماره‌ها برای ثبت درخواست‌های جعلی مزایای بیکاری در اداره کار نیویورک استفاده می شدند.

اگرچه اداره کار بسیاری از این درخواست‌ها را پیش از پرداخت تشخیص داد، اما هزاران نفر از متقاضیان جعلی بخشی از مزایا را دریافت کردند.

به‌عنوان بخشی از این توافق، گایکو ملزم به اجرای یک برنامه امنیتی داده، استخدام یک مسئول برای نظارت بر برنامه و گزارش سالانه درباره اثربخشی آن شد.

همچنین هر دو شرکت باید ظرف 60 روز فهرستی از تمام سامانه‌های پردازش اطلاعات مشتریان تهیه کرده و دستورالعمل‌هایی برای حفاظت از آنها ارائه دهند.

تراولرز نیز سامانه‌ای مشابه دارد، اما هکرها سامانه‌ای را هدف قرار دادند که برای نمایندگان مستقل بیمه ارائه می‌شود.

این سامانه به نام کاربری و رمز عبور نیاز داشت، اما احراز هویت چندمرحله‌ای الزامی نبود.

در نهایت، هکرها به شماره‌های گواهینامه 88,858 مشتری دسترسی یافتند که 3,912 نفر از آنها ساکن نیویورک بودند.

همانند گایکو، از این اطلاعات نیز برای ثبت درخواست‌های جعلی مزایای بیکاری استفاده شد.

در نهایت، دادستانی نیویورک و بخش خدمات مالی هر دو شرکت را جریمه کردند.

گایکو ملزم به پرداخت 4.75 میلیون دلار به دادستانی و 5 میلیون دلار به بخش خدمات مالی شد، در حالی که تراولرز باید 350 هزار دلار به دادستانی و 1.2 میلیون دلار به خدمات مالی بپردازد.

این جریمه‌ها بخشی از اقدامات اخیر دفتر دادستان کل نیویورک برای مقابله با نشت داده‌ها و افزایش امنیت اطلاعات است.