Una persona non autorizzata sembra aver ottenuto l’accesso alla rete della società di software assicurativo Vertafore all’inizio di quest’anno e ha compromesso i dati della patente di guida di oltre 27 milioni di cittadini del Texas. Il report è stato pubblicato questa settimana dalla società stessa.
Vertafore afferma in una dichiarazione rilasciata venerdì che l’iscrizione è stata effettuata tra l’11 marzo e il 1 agosto, quando qualcuno ha ottenuto l’accesso a un prodotto specifico all’interno dello strumento di valutazione delle assicurazioni dell’azienda che conteneva informazioni sui conducenti del Texas.
La breccia è stata scoperta a metà agosto, dice Vertafore.
“I file, che includevano le informazioni sui conducenti per le patenti rilasciate prima di febbraio 2019, contenevano numeri di patente di guida del Texas, nonché nomi, date di nascita, indirizzi e cronologie di immatricolazione dei veicoli”, riferisce la società.
I numeri di previdenza sociale e le informazioni sui conti finanziari per i conducenti non sono memorizzati in questo database, né i dati relativi a partner, fornitori o altri dati di fornitori, secondo la dichiarazione. L’azienda aggiunge che a questo punto non sono state identificate vulnerabilità di sistema.
Database mal configurato?
La possibilità che non esista una vulnerabilità del sistema potrebbe significare che i dati sono stati ottenuti attraverso un errore di configurazione del database, afferma Tim Wade, direttore tecnico del team CTO presso la società di sicurezza Vectra.
“I primi rapporti sembrano indicare che una configurazione errata è alla radice di questa divulgazione”, dice Wade a ISMG. “Sfortunatamente, questo è fin troppo comune, e se quei rapporti sono accurati, questo è un esempio di quanto possa diventare serio anche qualcosa di apparentemente innocuo come un semplice errore di configurazione”.
Database mal configurati che portano alla perdita di dati hanno afflitto centinaia di aziende negli ultimi anni, portando Bill Santos, presidente di Cerberus Sentinel, a notare che avere una cultura aziendale attenta alla sicurezza è la chiave per fermare questo tipo di incidenti che sono quasi sempre dovuti a errore umano.
Javvad Malik, sostenitore della sensibilizzazione alla sicurezza con KnowBe4, concorda sulla possibilità di un database configurato in modo errato, aggiungendo che un modo per risolvere il problema è attraverso la formazione e l’istruzione, nonché l’implementazione di controlli tecnici.
Nella sua dichiarazione, Vertafore osserva che sta ancora indagando sull’incidente con società di sicurezza di terze parti. Anche le forze dell’ordine in Texas e l’FBI stanno indagando.
“Vertafore ha immediatamente ingaggiato una delle principali società di intelligence per cercare prove che indichino un potenziale uso improprio di queste informazioni in relazione a questo evento”.
Aggiungendo che finora non sono state scoperte prove per indicare che le informazioni compromesse siano state utilizzate in modo improprio.
Vertafore offre agli interessati un anno di servizi gratuiti di monitoraggio del credito e ripristino dell’identità.