Una brecha de seguridad en la startup de tecnología de seguros BackNine ha expuesto cientos de miles de aplicaciones de seguros después de que uno de sus servidores en la nube quedó desprotegido en Internet.

BackNine puede ser una empresa que no conoce, pero puede haber procesado su información personal si ha solicitado un seguro en los últimos años. La compañía con sede en California está desarrollando software de back office para ayudar a las compañías de seguros más grandes a vender y mantener pólizas de seguro de vida e invalidez. También ofrece un formulario web de cotización de marca blanca para planificadores financieros independientes o pequeños que venden planes de seguro a través de sus propios sitios web.

Pero uno de los servidores de almacenamiento de la empresa, alojado en la nube de Amazon, estaba mal configurado para permitir que cualquier persona acceda a los 711.000 archivos que contiene, incluidas las reclamaciones de seguros completadas que contienen documentos, información personal y médica altamente confidencial sobre el solicitante y su familia. También contenía imágenes de firmas individuales, así como otros archivos internos de BackNine.

LEER  5 razones por las que debería asistir a TC Early Stage 2021: marketing - TechCrunch

Entre los documentos examinados, TechCrunch encontró información de contacto, como nombres completos, direcciones y números de teléfono, pero también números de seguro social, diagnósticos médicos, medicamentos tomados y cuestionarios de salud detallados completados de un solicitante, pasado y presente. Otros archivos incluían resultados de análisis y de laboratorio, como análisis de sangre y electrocardiogramas. Algunas aplicaciones también contenían números de licencia de conducir.

Los documentos expuestos se remontan a 2015 y, a más tardar, este mes.

Debido a que los servidores de almacenamiento de Amazon, llamados depósitos, son privados de forma predeterminada, alguien que tenga el control de los depósitos debe haber cambiado sus permisos en público. Ninguno de los datos se ha cifrado.

Investigador de seguridad Bob diachenko encontró el compartimiento de almacenamiento expuesto y envió por correo electrónico los detalles de la falla a la compañía a principios de junio, pero después de recibir una respuesta inicial, no obtuvo respuesta y el cubo permaneció abierto.

Nos comunicamos con el vicepresidente de BackNine, Reid Tattersall, con quien Diachenko estuvo en contacto e ignoró. TechCrunch también fue ignorado. Pero a los pocos minutos de proporcionar a Tattersall, y solo a él, el nombre del compartimento expuesto, los datos estaban bloqueados. TechCrunch aún no ha recibido una respuesta de Tattersall, o de su padre Mark, el director ejecutivo de la compañía, que se copió en un correo electrónico posterior.

LEER  Netskope Cloud Security Platform eleva la valoración a $ 7.5 mil millones después de un aumento de $ 300 millones - TechCrunch

TechCrunch preguntó a Tattersall si la compañía ha alertado a las autoridades locales de acuerdo con las leyes estatales de notificación de violación de datos, o si la compañía está considerando notificar a los sujetos de datos cuyos datos han sido expuestos. No hemos recibido respuesta. Las empresas pueden enfrentar fuertes sanciones financieras y civiles por no revelar un incidente de ciberseguridad.

BackNine trabaja con algunas de las aseguradoras más grandes de EE. UU. Muchas de las reclamaciones de seguros encontradas en el compartimento expuesto eran de AIG, TransAmerica, John Hancock, Lincoln Financial Group y Prudential. Contactados antes de la publicación, los portavoces de los gigantes de seguros no hicieron comentarios.

Lee mas:

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )