ShinyHunters tvrdi da je ukradeno 3,1 TB podataka u napadu na NAIC korištenjem Oracle zero-day ranjivosti

ShinyHunters tvrdi da je ukradeno 3,1 TB podataka u napadu na NAIC korištenjem Oracle zero-day ranjivosti

Nacionalna udruga povjerenika za osiguranje (NAIC) potvrdila je značajnu povredu podataka nakon što je hakerska grupa ShinyHunters na internetu objavila ono za što tvrdi da je 3,1 terabajt ukradenih podataka. Napad je iskoristio Oracle zero-day ranjivost, što ovaj incident čini napadom na lanac opskrbe, a ne izravnim propustom u obrani samog NAIC-a. NAIC navodi da je povreda prvi put otkrivena 11. lipnja i da ukradeni materijal uključuje financijska izvješća i tehničke podatke, iako ShinyHunters tvrdi da je opseg podataka znatno širi.

Za svakoga tko je imao doticaj s američkim sustavom osiguranja, ova povreda podataka odmah postavlja pitanja o tome koji su podaci bili izloženi, kako su procurili i što obični ljudi mogu učiniti kada institucije koje bi trebale štititi potrošače i same postanu žrtve.

Što je ukradeno i kako je napad izveden

NAIC djeluje kao koordinacijsko tijelo za državne regulatore osiguranja diljem Sjedinjenih Američkih Država. Njihove baze podataka sadrže dokumente regulatornih prijava osiguravajućih društava, datoteke s kreditnim ocjenama, skupne narudžbe korisnika te podatke o tehničkoj infrastrukturi, uključujući reference na AWS okruženja. ShinyHunters tvrdi da su pogođeni sustavi poput INSData i Vision.

Vektor napada bila je zero-day ranjivost u Oracle softveru, što znači da su napadači iskoristili nedostatak za koji u tom trenutku nije bilo dostupne zakrpe. To je ključna razlika: čak i organizacije sa snažnom internom sigurnosnom praksom mogu biti kompromitirane kada postoje ranjivosti u softveru treće strane na koji se oslanjaju. Ovakve vrste napada na lanac opskrbe posebno je teško spriječiti jer se slaba točka nalazi izvan izravne kontrole ciljane organizacije.

ShinyHunters je dobro dokumentirana prijetnja s poviješću krađa podataka velikih razmjera. Tvrdnje ove grupe treba shvatiti ozbiljno, iako se puni opseg onoga što je ukradeno može razlikovati od službenih izvješća NAIC-a.

Zašto je ova povreda važnija od onoga što piše u naslovima

Podaci o osiguranju nisu isto što i ukradena maloprodajna kartica vjernosti. Regulatorne prijave sadrže osjetljive financijske podatke o osiguravajućim društvima, a zapisi povezani s tim prijavama mogu uključivati osobno identificirajuće podatke o osiguranicima, podnositeljima zahtjeva i stručnjacima u industriji.

Dublja zabrinutost ovdje je sustavne prirode. NAIC se nalazi u središtu regulatornog okvira za osiguranje u SAD-u. Povreda na ovoj razini ne pogađa samo jedno društvo ili jednu saveznu državu. Potencijalno dodiruje tokove podataka koji prolaze kroz desetke osiguravatelja i regulatornih tijela koja surađuju s NAIC-ovim platformama. Kada je središnji regulatorni čvor ugrožen, posljedice nizvodno teže je mapirati i suzbiti.

Ovo također doprinosi sve većem broju dokaza da se zero-day napadi koriste kao oružje protiv kritične infrastrukture i institucija koje je nadziru. Ova povreda slijedi širi obrazac sofisticiranih napadača koji ciljaju organizacije koje prikupljaju osjetljive podatke u velikim količinama, pri čemu jedan uspješan napad donosi goleme dobitke.

Što to znači za vas

Ako ste podnijeli zahtjev za osiguranje, imali policu ili radili u industriji osiguranja u Sjedinjenim Američkim Državama, postoji razumna mogućnost da je neki zapis povezan s vašom aktivnošću u nekom trenutku prošao kroz sustave povezane s NAIC-om. To ne jamči da su vaši podaci ukradeni, ali znači da je rizik stvaran i da ga vrijedi proaktivno rješavati.

Ovakve povrede podsjećaju nas da se zaštita osobnih podataka ne može u potpunosti prepustiti institucijama. Postoji nekoliko konkretnih koraka koje sada vrijedi poduzeti.

Prvo, pažljivo pratite svoje kreditne izvještaje. Regulatorni i financijski podaci, u kombinaciji s drugim ukradenim informacijama, mogu se koristiti za izradu uvjerljivih pokušaja krađe identiteta. Besplatno praćenje kreditne sposobnosti dostupno je putem nekoliko glavnih agencija, a postavljanje zamrzavanja kredita jeftin je način za blokiranje neovlaštenih kreditnih zahtjeva.

Drugo, promijenite lozinke povezane s portalima za osiguranje i svim računima na kojima ponovno koristite iste vjerodajnice. Upravitelj lozinkama čini to izvedivim bez potrebe za pamćenjem desetaka jedinstvenih zaporki.

Treće, budite oprezni na pokušaje krađe identiteta (phishing). Napadači koji dođu do podataka o osiguranju često ih koriste za izradu visoko usmjerenih phishing e-poruka koje izgledaju kao da dolaze od legitimnih osiguravatelja ili regulatornih tijela. Na neočekivane e-poruke koje od vas traže da se prijavite ili potvrdite informacije gledajte s dodatnim skepticizmom.

Konačno, razmislite o tome kako obavljate osjetljive transakcije na internetu. Šifriranje internetske veze prilikom pristupanja portalima za osiguranje, financijskim računima ili vladinim uslugama dodaje sloj zaštite od presretanja, posebno na mrežama nad kojima nemate potpunu kontrolu.

Praktični savjeti za djelovanje

• Postavite zamrzavanje kredita u sve tri glavne agencije ako ste zabrinuti zbog krađe identiteta proizašle iz izloženosti podataka iz osiguranja.
• Koristite jedinstvene, snažne lozinke za svaki račun povezan s osiguranjem i omogućite dvofaktorsku autentifikaciju gdje god je ponuđena.
• Pazite na phishing e-poruke koje spominju vašeg osiguravatelja ili regulatorne prijave. Ako ste u dvojbi, izravno idite na službenu stranicu umjesto da kliknete na poveznice u e-pošti.
• Razmislite o korištenju VPN-a kada pristupate financijskim računima ili računima za osiguranje na javnim ili dijeljenim mrežama. Šifriranje veze smanjuje rizik od presretanja prometa tijekom osjetljivih sesija.
• Provjerite službene komunikacije NAIC-a za ažurirane informacije o tome koji su podaci potvrđeni kao ukradeni i hoće li biti izdana obavijest potrošačima.

Institucije u središtu kritičnih industrija uvijek će biti visokoprofitne mete. Povreda u NAIC-u nije razlog za paniku, ali je jasan signal da je individualna higijena podataka važna čak i kada velike, dobro opremljene organizacije ne uspijevaju spriječiti napade. Preuzeti kontrolu nad onim što možete zaštititi najpraktičniji je odgovor koji imamo na raspolaganju.