根據(jù)黑客的說法,明星健康保險(xiǎn)的首席信息安全官(CISO)以15萬美元的價(jià)格出售了7.24TB的數(shù)據(jù),而該黑客稱公司的高級(jí)管理層也參與了此次數(shù)據(jù)泄露事件。
正當(dāng)事態(tài)似乎逐漸平息之際,明星健康保險(xiǎn)的數(shù)據(jù)泄露事件出現(xiàn)了戲劇性且令人震驚的轉(zhuǎn)折。根據(jù)此次泄露事件的黑客聲稱,明星健康保險(xiǎn)的首席信息安全官Amarjeet Khanuja涉嫌以15萬美元出售了敏感的客戶數(shù)據(jù)。
自稱為xenZen的黑客進(jìn)一步指控稱,Khanuja隨后試圖修改交易條款,暗示公司高級(jí)管理層要求更多的錢以換取持續(xù)的后門訪問。
“明星健康保險(xiǎn)管理層的首席信息安全官Amarjeet(代號(hào)mc6)將所有這些數(shù)據(jù)賣給了我,然后試圖更改交易條款,稱公司的高級(jí)管理層需要更多的錢來獲取后門訪問權(quán)。”黑客在他的網(wǎng)站上寫道,“此次泄露事件由明星健康保險(xiǎn)發(fā)起,他們直接將這些數(shù)據(jù)賣給了我。”
發(fā)給Khanuja的一條短信查詢沒有得到回復(fù)。
此次泄露事件暴露了超過7.24TB的敏感客戶信息,包括高度個(gè)人化的信息,如全名、PAN號(hào)和手機(jī)號(hào)碼、電子郵件地址、出生日期、居住地址、既往病史、保單號(hào)碼、受益人信息,甚至被保險(xiǎn)人的身高和體重等。
黑客的揭露在社交媒體上迅速傳播開來,一位名為Deedy Das的用戶發(fā)布了一段據(jù)稱是Khanuja與黑客之間的郵件往來,帖子顯示,作為首席信息安全官的Khanuja牽頭了明星健康保險(xiǎn)客戶數(shù)據(jù)的出售,將這批私密信息交給了黑客。據(jù)報(bào)道,這批數(shù)據(jù)賣出了15萬美元的價(jià)格。
更令人震驚的是,黑客聲稱,在交易完成后,Khanuja試圖修改協(xié)議,表示明星健康保險(xiǎn)的高級(jí)管理層希望通過持續(xù)提供公司系統(tǒng)的后門訪問來獲取更多金錢。
如果這些指控屬實(shí),這將表明公司內(nèi)部的安全協(xié)議和道德標(biāo)準(zhǔn)遭到了嚴(yán)重破壞,并將為這家保險(xiǎn)公司帶來嚴(yán)峻的法律和聲譽(yù)后果。
“我們承認(rèn)我們成為了一次有針對(duì)性的惡意網(wǎng)絡(luò)攻擊的受害者,導(dǎo)致某些數(shù)據(jù)被未經(jīng)授權(quán)且非法訪問。” 明星健康保險(xiǎn)在一份聲明中表示,“我們明確聲明,我們的運(yùn)營未受影響,所有服務(wù)繼續(xù)不間斷運(yùn)行。”
然而,關(guān)于明星健康保險(xiǎn)內(nèi)部高層涉案的最新揭露,給該公司的安全措施和道德規(guī)范帶來了嚴(yán)重的質(zhì)疑。如果屬實(shí),這表明公司內(nèi)部的數(shù)據(jù)治理存在深層次的漏洞。
“我們還要明確指出,我們的首席信息安全官在調(diào)查中給予了充分的配合,截至目前,我們尚未發(fā)現(xiàn)他有任何不當(dāng)行為的證據(jù)。我們請(qǐng)求尊重他的隱私,因?yàn)槲覀冎劳{行為者正在試圖制造恐慌。我們還要強(qiáng)調(diào),任何未經(jīng)授權(quán)獲取、持有或傳播客戶數(shù)據(jù)的行為都是非法的。” 明星健康保險(xiǎn)說道。
余波和調(diào)查
此次數(shù)據(jù)泄露最早是在2024年8月曝光,當(dāng)時(shí)Telegram上的聊天機(jī)器人開始向用戶提供被泄露的數(shù)據(jù)。
當(dāng)時(shí),明星健康保險(xiǎn)在聲明中聲稱,敏感客戶數(shù)據(jù)“并未遭到廣泛泄露”,但在這些新指控的背景下,這一立場(chǎng)顯得越來越站不住腳。
周四,這家保險(xiǎn)公司表示,目前正在進(jìn)行由獨(dú)立網(wǎng)絡(luò)安全專家主導(dǎo)的徹底而嚴(yán)格的法證調(diào)查。
“我們?cè)诿總€(gè)調(diào)查階段都與政府和監(jiān)管機(jī)構(gòu)緊密合作。”聲明補(bǔ)充道。
此前,該公司已向泰米爾納德邦的網(wǎng)絡(luò)犯罪部門以及國家網(wǎng)絡(luò)安全機(jī)構(gòu)CERT-In報(bào)告了此次數(shù)據(jù)泄露事件。管理層涉嫌參與此次安全事件的指控?zé)o疑會(huì)為正在進(jìn)行的調(diào)查蒙上陰影,并可能導(dǎo)致監(jiān)管機(jī)構(gòu)和執(zhí)法機(jī)構(gòu)的更加嚴(yán)密的審查。
此次數(shù)據(jù)泄露事件已經(jīng)引發(fā)了對(duì)公司數(shù)據(jù)安全基礎(chǔ)設(shè)施的重大擔(dān)憂,以及其保護(hù)敏感醫(yī)療和個(gè)人信息的能力。這些新指控將進(jìn)一步聚焦明星健康保險(xiǎn)如何審查內(nèi)部員工,并控制對(duì)關(guān)鍵客戶數(shù)據(jù)的訪問權(quán)限。
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。