印度网络安全公司Banbreach近期发现美国加州保险局(California Department of Insurance,CDI)网站存在漏洞。
据称,一个连接到interactive.web.insurance[.]gov的Oracle报表服务器在24小时内生成了24450多份报表,而该服务器能够被公开访问。大多数报表都是保险代理人的续签报告,其中包括代理人的姓名、续签ID和税务识别号(TIN)。由于有很多人也使用他们的社会安全号码(SSN,相当于我国的居民身份证号)作为他们的税务识别号,因此这些人的名字和SSN号码可能已经遭到泄露。
通过这个网站漏洞暴露的其他报告被描述为:保险索赔调查报告,包括姓名、车辆登记号码和住址等详细信息;关于月度欺诈的统计报告;被起诉人的详细个人信息,以及指控的细节(如罪名、罚款等)。
据称,Banbreach是在2018年11月9日向CDI通报了他们的发现,并在随后与州检察长办公室取得了联系。在一周之后,Banbreach收到对于漏洞的确认,并被要求保证不会滥用这些数据并立即销毁这些数据。然而,加州保险局目前仍没有公布这起事件,并且在任何政府网站上都找不到相关的通知或公告。