ShinyHunters väittää varastaneensa 3,1 TB:tä NAIC:n Oracle-nollapäivämurrossa

ShinyHunters väittää varastaneensa 3,1 TB:tä NAIC:n Oracle-nollapäivämurrossa

National Association of Insurance Commissioners (NAIC) on vahvistanut merkittävän tietomurron sen jälkeen, kun hakkeriryhmä ShinyHunters julkaisi verkossa väittämänsä 3,1 teratavua varastettua dataa. Hyökkäyksessä käytettiin Oracle-nollapäivähaavoittuvuutta, mikä tekee tästä toimitusketjutapaturman eikä suoranaista NAIC:n oman puolustuksen pettämistä. NAIC kertoo, että murto havaittiin ensin 11. kesäkuuta ja että varastettu aineisto sisältää talousraportteja ja teknisiä tietoja, joskin ShinyHunters väittää saaliin olevan paljon laajempi.

Jokaiselle, joka on asioinut Yhdysvaltain vakuutusjärjestelmän kanssa, tämä murto herättää välittömiä kysymyksiä siitä, mitä tietoja paljastui, miten ne vuotivat ja mitä tavalliset ihmiset voivat tehdä, kun kuluttajia suojelemaan tarkoitetut instituutiot joutuvat itse uhreiksi.

Mitä varastettiin ja miten hyökkäys tapahtui

NAIC toimii osavaltioiden vakuutusvalvojien yhteistyöelimenä kaikkialla Yhdysvalloissa. Sen tietokannat sisältävät vakuutusyhtiöiden viranomaisraportointiasiakirjoja, luottoluokitustiedostoja, asiakkaiden joukkotilauksia ja teknistä infrastruktuuritietoa, mukaan lukien viittauksia AWS-ympäristöihin. ShinyHunters väittää, että järjestelmät kuten INSData ja Vision joutuivat kärsimään.

Hyökkäysvektori oli nollapäivähaavoittuvuus Oracle-ohjelmistossa, eli hyökkääjät käyttivät hyväkseen puutetta, johon ei ollut tuolloin saatavilla korjausta. Tämä on ratkaiseva ero: jopa organisaatiot, joilla on vahvat sisäiset tietoturvakäytännöt, voivat vaarantua, kun haavoittuvuuksia on niiden käyttämissä kolmannen osapuolen ohjelmistoissa. Tällaisia toimitusketjuhyökkäyksiä on erityisen vaikea torjua, koska heikko kohta sijaitsee kohdeorganisaation suoran hallinnan ulkopuolella.

ShinyHunters on hyvin dokumentoitu uhkatoimija, jolla on historiaa laajamittaisista tietovarkauksista. Ryhmän väitteet tulisi ottaa vakavasti, vaikka varastetun tiedon koko laajuus saattaa poiketa NAIC:n virallisesta kertomuksesta.

Miksi tämä murto on tärkeämpi kuin otsikot antavat ymmärtää

Vakuutusdata ei ole samaa kuin varastettu kanta-asiakaskortti. Viranomaisraportit sisältävät arkaluonteista taloustietoa vakuutusyhtiöistä, ja niihin liittyvät tietueet voivat sisältää henkilökohtaisesti tunnistettavia tietoja vakuutuksenottajista, korvauksenhakijoista ja alan ammattilaisista.

Syvempi huolenaihe on järjestelmällinen. NAIC istuu Yhdysvaltain vakuutussääntelykehyksen keskiössä. Tämän tason murto ei koske vain yhtä yritystä tai yhtä osavaltiota. Se voi mahdollisesti koskettaa tietovirtoja kymmenissä vakuutusyhtiöissä ja sääntelyelimissä, jotka toimivat NAIC:n alustoilla. Kun keskeinen sääntelysolmukohta vaarantuu, seurannaisvaikutuksia on vaikeampi kartoittaa ja vaikeampi rajata.

Tämä lisää myös kasvavaa näyttöä siitä, että nollapäivähyökkäyksiä aseistetaan kriittistä infrastruktuuria ja sitä valvovia instituutioita vastaan. Murto noudattaa laajempaa mallia, jossa kehittyneet uhkatoimijat kohdistavat iskunsa organisaatioihin, jotka keräävät arkaluontoista dataa suuressa mittakaavassa ja joissa yksi onnistunut hyökkäys tuottaa valtavan tuoton.

Mitä tämä tarkoittaa sinulle

Jos olet tehnyt vakuutuskorvaushakemuksen, omistanut vakuutuksen tai työskennellyt vakuutusalalla Yhdysvalloissa, on kohtuullisen mahdollista, että jokin toimintaasi liittyvä tietue on kulkenut NAIC-kytköksisten järjestelmien kautta jossain vaiheessa. Se ei takaa, että tietosi vietiin, mutta se tarkoittaa, että riski on todellinen ja siihen kannattaa varautua ennakoivasti.

Tällaiset murrot ovat muistutus siitä, ettei henkilötietojen suojaamista voi kokonaan ulkoistaa instituutioille. Useita konkreettisia toimia kannattaa tehdä nyt.

Ensimmäiseksi, seuraa luottotietojasi tarkasti. Sääntely- ja taloustietoja voidaan yhdessä muiden varastettujen tietojen kanssa käyttää vakuuttavien identiteettipetosyritysten rakentamiseen. Ilmaista luottovalvontaa on saatavilla useiden suurten luottotietoyhtiöiden kautta, ja luottokiellon asettaminen on edullinen tapa estää luvattomat luottohakemukset.

Toiseksi, vaihda vakuutusportaaleihin ja kaikkiin tileihin liittyvät salasanat, joissa käytät samoja tunnuksia uudelleen. Salasananhallinta tekee tästä hallittavaa ilman, että joudut muistamaan kymmeniä yksilöllisiä salalauseita.

Kolmanneksi, ole valppaana tietojenkalasteluyritysten suhteen. Hyökkääjät, jotka saavat vakuutustietoja, käyttävät niitä usein laatiakseen erittäin kohdennettuja kalasteluviestejä, jotka näyttävät tulevan oikeilta vakuutusyhtiöiltä tai sääntelyelimiltä. Suhtaudu ylimääräisellä epäluulolla odottamattomiin sähköposteihin, joissa pyydetään kirjautumaan sisään tai vahvistamaan tietoja.

Lopuksi, mieti miten käsittelet arkaluonteisia tapahtumia verkossa. Verkkoyhteytesi salaaminen vakuutusportaaleja, taloustilejä tai valtion palveluita käyttäessäsi lisää suojaa salakuuntelua vastaan erityisesti verkoissa, jotka eivät ole täysin hallinnassasi.

Käytännön ohjeet

• Aseta luottokielto kaikissa kolmessa suuressa luottotietoyrityksessä, jos olet huolissasi vakuutustietojen paljastumisesta johtuvasta identiteettipetoksesta.
• Käytä yksilöllisiä, vahvoja salasanoja jokaiselle vakuutukseen liittyvälle tilille ja ota käyttöön kaksivaiheinen tunnistautuminen aina kun se on tarjolla.
• Varo tietojenkalasteluviestejä, jotka viittaavat vakuutusyhtiöösi tai viranomaisraportteihin. Jos olet epävarma, siirry suoraan viralliselle sivustolle sen sijaan, että napsautat sähköpostilinkkejä.
• Harkitse VPN:n käyttöä, kun käytät talous- tai vakuutustilejä julkisissa tai jaetuissa verkoissa. Yhteyden salaaminen vähentää liikenteen kaappaamisen riskiä arkaluontoisten istuntojen aikana.
• Tarkista NAIC:n viralliset tiedotteet saadaksesi päivityksiä siitä, mitä tietoja on vahvistettu varastetuiksi ja annetaanko kuluttajille ilmoituksia.

Keskeisten toimialojen keskiössä olevat instituutiot ovat aina arvokkaita kohteita. NAIC:n murto ei ole syy paniikkiin, mutta se on selkeä merkki siitä, että henkilökohtaisella tietohygienialla on merkitystä silloinkin, kun suuret, hyvin resursoidut organisaatiot epäonnistuvat hyökkäysten estämisessä. Sen hallitseminen, mitä voit itse suojata, on käytännöllisin käytettävissä oleva toimintatapa.