加密的口号喊了千千万,但还是总有大意的公司在加密的关键问题上出差错,以至于捅了大篓子,最近,美国一家软件公司就因为没有给文件加密,而导致数千客户的保单信息被泄露。
AgentRun是一家总部位于美国伊利诺伊州芝加哥的软件公司,由前独立保险经纪人和软件工程师Andrew Lech于2012年创建,专为保险经纪人提供客户管理软件。
这家公司将客户信息存在Amazon S3存储桶中,内有数千名不同保险公司客户的个人敏感信息,包括类似Cigna和SafeCo Insurance这样的大型保险公司的客户。
然而该公司却没有将含有客户信息的存储桶进行加密保护,导致这些敏感数据被暴露,包括保险单文件、健康和医疗记录文件、各种证件的扫描件以及一些财务数据在内的多个敏感数据发生泄露,多家保险公司和客户受到该起事件的影响。
保险单文件包含详细的保单持有人个人信息,如姓名、电子邮箱地址、出生日期和电话号码。在某些情况下,一些文件还显示了收入范围、种族和婚姻状况,甚至还附上了空白的银行支票。
对于扫描件而言,涉及到各种证件,如社会安全卡片、医疗卡、驾驶执照、选民证和军人证件;医疗记录文件则包含了可以确定保单持有人医疗状况的各种信息,包括个人的处方、剂量和费用。
本次泄露发生在应用程序升级和数据转移过程中,当数据被转移到这个存储桶时,存储桶在权限设置上出现了人为错误,引发数据暴露。
这类事件虽然发生于Amazon存储桶,但究其根源,还是使用不当造成的。存储桶本身有权限级别的设置,可以为数据进行加密,进而防止偷窥,然而许多公司忽视数据加密的环节,就会造成难以收拾的后果。
未加密信息被存于存储桶中,一旦被暴露,就会直接以明文形式呈现给入侵者,即便是自有邮件服务器,倘若邮件数据未经加密即存入服务器,也同样存在泄密风险,一旦服务器漏洞被利用,邮件数据可能很快就会被攻击者收入囊中。
使用商务密邮,保护敏感邮件,刻不容缓。
