目录导航
意大利保险公司的数据泄露中发现了敏感的员工文件
Vittoria Assicurazioni 的开放式存储桶暴露了数十万个包含敏感公司、员工和课程参与者数据的文件。
| 公司名称及所在地: | Vittoria Assicurazioni,总部位于意大利 |
| 大小(以 GB 为单位和记录/文件的数量): | 大约 280GB,970,000+ 个文件 |
| 数据存储格式: | AWS S3 存储桶 |
| 受影响的国家: | 意大利 |
意大利保险公司 Vittoria Assicurazioni 遭遇网络安全事件,员工和培训课程参与者的个人数据以及敏感的公司详细信息被泄露。
该公司的两个亚马逊存储桶配置错误,没有任何密码保护或加密控制。Vittoria Assicurazioni 的存储桶包含几乎相同的数据集,每个数据集都暴露了超过 970,000 个文件,每个存储桶总计约 280GB 的数据。
Vittoria 的存储桶暴露了数千个 JSON 文件、PDF 和 .csv 文件,其中包含电子邮件、证书和社会安全号码等详细信息。
根据电子邮件和认证的数量,可能有 30,000 到 800,000 人受到影响。我们无法提供更准确的估计,因为我们无法知道存储桶上重复文件的确切数量。
暴露的电子邮件披露了员工之间的内部通信以及与外部各方的外部通信。这些文件在详细说明电子邮件主题行和内容之前显示了发件人和收件人的电子邮件地址。
一些电子邮件甚至泄露了敏感的公司数据,例如用户名和密码——这些信息可以提供对 Vittoria 公司帐户的访问权限。
作为我们广泛的网络地图项目的一部分,研究人员发现了 Vittoria Assicurazioni 的存储桶,该存储桶以开放的形式留下。我们使用网络扫描仪来识别互联网上不安全的数据存储。我们负责任地分析、帮助保护和报告这些数据事件,以提高对网络犯罪危险的认识,并帮助受影响的公司和用户。
数据公开状态
我们发现了 Vittoria Assicurazioni 的数据事件
- 2022 年 4 月 28 日:我们联系了 Vittoria Assicurazioni。
- 2022 年 5 月 2 日至 2022 年 5 月 5 日:我们向 Vittoria 联系人发送了后续消息。
- 2022 年 5 月 9 日:我们向新的 Vittoria 联系人和意大利 CERT 发送了电子邮件,他们在同一天回复,然后我们开始负责任地向意大利 CERT 披露违规行为。意大利 CERT 联系了 Vittoria 的 CISO,其中一个存储桶被修复。
- 2022 年 5 月 11 日:我们再次联系了意大利 CERT,因为其中一个存储桶仍然开放。他们在同一天回复并告诉我们他们将再次联系 Vittoria 的 CISO。
- 2022 年 5 月 13 日:Vittoria 的第二个存储桶得到保护。
客户和公司数据暴露
属于 Vittoria Assicurazioni、其员工、培训课程参与者和其他各种未知方的数据在几种不同的文件类型中暴露,包括电子邮件、分析、附件、头像、证书、课程详细信息以及包含人们社会安全号码的导出 CSV 文件.
电子邮件(超过 150,000 个文件)和证书(超过 750,000 个文件)是两个最突出的数据集。由于 Vittoria 的两个存储桶的文件几乎相同,因此文件和数据计数取自第二个存储桶,不计算第一个存储桶上的重复文件。
公开的数据包括:
- 员工 PII 和敏感数据:全名、电子邮件地址、主题行、电子邮件内容、电子邮件附件和 Vittoria 颁发的证书。
- 课程参加者的 PII 和敏感数据*:全名、班级详细信息、工作角色、培训课程成绩和 Vittoria 颁发的证书。
- 未知人员的 PII 和敏感数据**:人员(可能是客户或员工)的图像、全名、电子邮件地址、电子邮件主题行、电子邮件内容、电子邮件附件、社会保险号和各种非敏感详细信息。
- 敏感的公司数据:员工的电子邮件内容(有些包含公司登录凭据)、员工的电子邮件主题行、员工的电子邮件附件(包括培训计划)、课程详情。
*课程参加者似乎是参加培训课程的Vittoria 工作人员,但我们不知道参加课程的每个人是否都受雇于Vittoria 。
**我们不知道某些数据是否属于员工、客户或其他第三方(如承包商)。出于道德原因,我们没有确定这些人中的每一个人,尽管我们确实检查了数据样本以确保它与真实的人有关。
文件日期从 2017 年 4 月到我们发现 Vittoria 的存储桶之日,即 2022 年 4 月 27 日。存储桶是实时的,并且在发现时会定期更新。
亚马逊不对 Vittoria 存储桶的错误配置负责。
我们分析的大多数文件似乎与培训课程有关,包括大量电子邮件、附件、证书、课程详细信息和分析文件。这些文件讨论了人们参加培训课程的情况、课程成绩分数、课程安排、课程出勤登记表以及其他各种计划细节。
各种电子邮件内容,例如披露员工帐户用户名和密码、暴露员工数据和 Vittoria 的敏感公司数据的内容。课程详细信息(包括有关培训课程和参加者的信息)也暴露了敏感的公司数据。
我们无法辨别某些数据是否与员工、客户、课程参加者或其他第三方(例如承包商)有关。这包括各种电子邮件内容、人物图像和社会安全号码。
对Vittoria、其员工和其他人的影响
我们不知道也无法知道恶意行为者是否访问了 Vittoria Assicurazioni 的开放式存储桶。但是,如果不良行为者获得了存储桶的数据,Vittoria 以及任何暴露的个人都可能面临若干安全风险。
- 身份盗用和冒充。意大利社会安全号码(或“财政代码”)可以被解密以识别个人,揭示姓名、出生日期、性别等。黑客可以使用 SSN、证书和其他个人详细信息来冒充和欺骗受害者,以他们的名义申请信用并开设新账户。
- 网络钓鱼、欺诈和诈骗。黑客可以使用 Vittoria 电子邮件地址、电子邮件内容和课程文档将看起来真实的 Vittoria 电子邮件发送到存储桶中其他暴露的电子邮件地址。他们可以诱骗用户披露个人数据、下载恶意软件或交出金钱。
- 企业间谍活动。竞争对手的企业可以联系 Vittoria 的电子邮件地址,并使用课程详细信息、PII 和泄露的电子邮件来冒充其他员工或课程参与者。
- 账户接管。电子邮件中泄露的用户名和密码可能使黑客能够接管公司帐户并获取、破坏或修改信息。
Vittoria Assicurazioni 也可能受到意大利数据保护局的调查。根据欧盟的通用数据保护条例 (GDPR),任何不当处理个人数据的公司都可能面临最高 2000 万欧元(约合 2110 万美元)或公司年营业额 4% 的罚款(以较高者为准)。
保护您的数据
任何收到来自 Vittoria 电子邮件地址的电子邮件的人,包括 Vittoria 员工和培训课程参加者,在收到要求他们点击链接、提供敏感数据或交钱的消息时都应该小心。欺诈受害者应联系其银行和当地执法机构。
Vittoria 可以实施对员工进行身份验证的系统,并且可以更改暴露的公司帐户的登录凭据。
关于 Vittoria Assicurazioni
Vittoria Assicurazioni 成立于 1921 年,是一家总部位于米兰的保险公司,为公民、专业人士和公司提供一系列保单,包括家庭、汽车、宠物、意外、健康、人寿、盗窃和民事责任保险。
据 ZoomInfo 称,该公司拥有 600 多名员工,年营业额约为 10 亿美元。
我们如何以及为何报告数据泄露
我们希望帮助我们的读者在使用任何网站或在线产品时保持安全。
不幸的是,负责的公司从未发现或报告大多数数据泄露事件。因此,我们决定开展这项工作,找出使人们处于危险之中的漏洞。
我们遵循道德黑客的原则并遵守法律。我们只调查随机发现的开放、未受保护的数据库,我们从不针对特定公司。
通过报告这些泄漏,我们希望让每个人的互联网更安全。
转载请注明出处及链接