Prokuratorzy generalni stanów Indiana i Maine przetworzyli niedawno powiadomienia o naruszeniu danych w AssuranceAmerica, potwierdzając ujawnienie 6,99 miliona rekordów. To zdarzenie jest największym udokumentowanym wyciekiem informacji z amerykańskich praw jazdy w tym roku. Organy regulacyjne nie postrzegają już takich incydentów jako odosobnionych awarii korporacyjnych. Zdarzenia te stanowią systemowe zagrożenie dla krajowej infrastruktury tożsamości. W obliczu nacisków rządów stanowych na przepisy dotyczące weryfikacji wieku, które nakazują przesyłanie dokumentów, odpowiedzialność wynikająca z centralizacji dokumentów tożsamości wydawanych przez państwo osiągnęła krytyczny próg. Naruszenie w AssuranceAmerica to sygnał, że tradycyjny model zaufania do dokumentów tożsamości uległ załamaniu.
AssuranceAmerica wykryła nieautoryzowany dostęp do swoich systemów komputerowych 17 marca. Późniejsze dochodzenie, zakończone 15 czerwca, ujawniło, że hakerzy skradli nazwiska, informacje kontaktowe i numery praw jazdy. Napastnicy uzyskali również dostęp do polis ubezpieczeń komunikacyjnych, szczegółów roszczeń i informacji o pojazdach. Choć firma nie ujawniła konkretnego punktu wejścia, potwierdziła, że hakerzy wzięli na cel pracownika i wykorzystali przejęte poświadczenia. Wskazuje to na awarię protokołów zarządzania tożsamością i dostępem (IAM).
Napastnicy spędzili wewnątrz sieci niemal trzy miesiące. Ten „dwell time” sugeruje, że środowisku wewnętrznemu brakowało niezbędnej telemetrii do wykrywania ruchu bocznego (lateral movement). W wielu starszych systemach ubezpieczeniowych poświadczenia pracownika zapewniają szeroki dostęp do baz danych, ponieważ architektura sieci zakłada, że uwierzytelniony użytkownik jest użytkownikiem zaufanym. To założenie jest główną wadą współczesnych zabezpieczeń przedsiębiorstw. Gdy napastnicy ominęli wstępną kontrolę poświadczeń, brak mikrosegmentacji pozwolił im uzyskać dostęp do blisko 7 milionów wrażliwych rekordów bez uruchomienia automatycznej blokady.
Numery praw jazdy to nie tylko dane. Są one fundamentalnymi kluczami do oszustw związanych z tożsamością syntetyczną i wyrafinowanych ataków polegających na podszywaniu się. W przeciwieństwie do numeru karty kredytowej, numer prawa jazdy jest trudny i kosztowny do zmiany. Gdy ubezpieczyciel traci 6,9 miliona takich identyfikatorów, stwarza to trwałe ryzyko dla dotkniętej populacji. Branża musi ponownie rozważyć, dlaczego przechowuje te dokumenty w surowym, przeszukiwalnym formacie.
Dostawcy ubezpieczeń gromadzą te dane w celu weryfikacji uprawnień i oceny ryzyka. Jednak przechowywanie faktycznego numeru jest wyborem projektowym, który przedkłada kompatybilność ze starszymi bazami danych nad bezpieczeństwo. Obecny trend globalnych przepisów dotyczących weryfikacji wieku zwiększa to ryzyko. Za każdym razem, gdy użytkownik przesyła dokument w celu potwierdzenia wieku lub tożsamości, tworzy nowy cel dla cyberprzestępców. Jeśli przedsiębiorstwa nadal będą traktować te dokumenty jako aktywa statyczne, liczba wycieków o wysokiej wartości będzie rosła. Logika przesuwa się z prostej ochrony danych w stronę konieczności stosowania dowodów z wiedzą zerową (zero-knowledge proofs), gdzie firma weryfikuje atrybut bez przechowywania faktycznego identyfikatora.
AssuranceAmerica oświadczyła, że po wykryciu incydentu zablokowała przejęte poświadczenia. Ten reaktywny środek nie rozwiązuje problemu sposobu ich kradzieży. Cyberprzestępcy coraz częściej używają złośliwego oprogramowania typu infostealer do przejmowania tokenów sesji i omijania standardowego uwierzytelniania wieloskładnikowego (MFA). Jeśli organizacja polega na MFA opartym na SMS-ach lub powiadomieniach push, jest podatna na ataki typu adversary-in-the-middle.
W tym przypadku celem ataku był prawdopodobnie pracownik, który padł ofiarą kampanii spear-phishingowej lub wyrafinowanej inżynierii społecznej. Wykorzystanie przejętych poświadczeń dowodzi, że obwód sieci nie jest już skuteczną linią obrony. Gdy napastnik posiada ważne poświadczenia, staje się „insiderem”. Jedyną obroną przed takim scenariuszem jest architektura. Odporny system zakłada, że poświadczenia zostaną skradzione i wymaga dodatkowego, kontekstowego dowodu dla każdego zapytania do wrażliwej bazy danych. Deficyt wiedzy specjalistycznej napastnika jest cichym sojusznikiem, jeśli system jest zaprojektowany tak, aby uruchamiać alerty przy nietypowych wzorcach eksfiltracji danych, jednak trzymiesięczny czas przebywania w AssuranceAmerica pokazuje, że ten sojusznik nie został wykorzystany.
Aby złagodzić skutki naruszenia poświadczeń, przedsiębiorstwa muszą wdrożyć architekturę Zero Trust, która traktuje każde połączenie wewnętrzne jako potencjalnie wrogie. Celem jest zapewnienie, że naruszenie nie przerodzi się w katastrofę. Wymaga to przejścia od modelu domniemanego zaufania do modelu ciągłej weryfikacji.
| Komponent architektoniczny | Podejście tradycyjne | Podejście Zero Trust |
|---|---|---|
| Segmentacja sieci | Płaska sieć z otwartym dostępem wewnętrznym | Mikrosegmentacja z dostępem o najniższych uprawnieniach |
| Weryfikacja tożsamości | Hasła i podstawowe MFA | MFA odporne na phishing (FIDO2/WebAuthn) |
| Przechowywanie danych | Surowe dane PII w centralnych bazach danych | Dane tokenizowane i dowody z wiedzą zerową |
| Monitorowanie | Logi obwodowe i alerty firewall | Analityka behawioralna i monitorowanie eksfiltracji danych |
| Kontrola dostępu | Oparta na rolach (RBAC) | Oparta na atrybutach (ABAC) z kontekstem |
Mikrosegmentacja jest najskuteczniejszym sposobem na ograniczenie promienia rażenia wycieku tożsamości. Jeśli baza danych zawierająca numery praw jazdy jest odizolowana od reszty sieci korporacyjnej, przejęte poświadczenia pracownika nie powinny wystarczyć do uzyskania do niej dostępu. Dostęp musi wymagać drugiego, wysokopoziomowego etapu uwierzytelniania i uzasadnienia biznesowego. Taka konstrukcja gwarantuje, że nawet jeśli napastnik wejdzie do domu, pozostanie zamknięty w jednym pokoju.
Zaangażowanie prokuratorów generalnych Indiany i Maine wskazuje, że konsekwencje prawne wycieków danych stają się coraz bardziej bezpośrednie. Organy regulacyjne zmierzają w stronę modelu, w którym brak wdrożenia podstawowych zabezpieczeń architektonicznych jest uznawany za zaniedbanie. Zmiana modeli zagrożeń oznacza, że „standardowa praktyka branżowa” nie jest już skuteczną linią obrony, jeśli praktyki te obejmują przechowywanie milionów identyfikatorów w formie otwartego tekstu.
Przyszłe regulacje prawdopodobnie nakażą stosowanie szyfrowania danych w spoczynku i w transmisji, ale skupią się również na koncepcji minimalizacji danych. Jeśli ubezpieczyciel nie potrzebuje numeru prawa jazdy do bieżących operacji, musi on zostać usunięty lub zanonimizowany. Incydent w AssuranceAmerica dowodzi, że posiadanie danych jest zobowiązaniem, które przeważa nad wygodą łatwego dostępu. Podmioty przechowujące dane na dużą skalę muszą przyjąć założenie, że każda informacja PII to potencjalny pozew sądowy.
Szefowie bezpieczeństwa informacji (CISO) muszą działać teraz, aby zapobiec sytuacji, w której ich organizacje staną się kolejną AssuranceAmerica. Poniższe kroki stanowią pragmatyczne ramy restrukturyzacji bezpieczeństwa tożsamości w ciągu najbliższego roku.
Naruszenie w AssuranceAmerica przypomina, że obwód sieci nie istnieje. 6,99 miliona osób stoi teraz w obliczu dożywotniego ryzyka kradzieży tożsamości, ponieważ skradziono poświadczenia jednego pracownika. Przetrwanie w tym krajobrazie zależy od odporności architektonicznej i szybkości wykrywania. Celem nie jest zapobieganie wszystkim naruszeniom; celem jest zapewnienie, że przejęte poświadczenia nie staną się mapą do całego królestwa. Branża musi odejść od zaufania opartego na dokumentach w stronę przyszłości, w której dane są minimalizowane, segmentowane i stale weryfikowane.
Źródła:
AssuranceAmerica Corporate Notice
Indiana Attorney General Breach Portal
Maine Attorney General Data Disclosure
TechCrunch Cybersecurity Analysis
Texas State Government Breach Reports
Zastrzeżenie: Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny i nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty.



Nasze kompleksowe, szyfrowane rozwiązanie do poczty e-mail i przechowywania danych w chmurze zapewnia najpotężniejsze środki bezpiecznej wymiany danych, zapewniając bezpieczeństwo i prywatność danych.
/ Utwórz bezpłatne konto