L’Autorité suédoise pour la protection de la vie privée (IMY) a infligé une amende de 3 millions de dollars à l’assureur Trygg-Hansa pour avoir exposé sur son portail en ligne des données sensibles appartenant à des centaines de milliers de clients.
Trygg-Hansa est un assureur pour les particuliers, les entreprises privées et les organismes publics, ainsi qu’une société de gestion d’actifs et de conseil en investissement.
IMY a ouvert une enquête sur l’entreprise après avoir reçu une information d’un client de Moderna Försäkringar (qui fait désormais partie de Trygg-Hansa), qui avait découvert qu’il était possible d’accéder au backend de l’assureur en suivant les liens disponibles sur les pages de devis envoyées aux clients.
Ceux-ci sont envoyés à tous les clients existants ou potentiels par SMS ou e-mail, contenant une adresse Web (URL) unique vers une page de devis sur le site Web de Trygg-Hansa.
IMY a confirmé que la base de données principale était accessible sans nécessiter d’authentification et qu’ils pouvaient parcourir les documents privés d’autres personnes en modifiant dans l’URL le numéro d’identification du client, qui était séquentiel.
Environ 650 000 clients ont été concernés. Les informations exposées comprenaient :
- Données personnelles
- Information sur la santé
- Détails de l’état
- L’information financière
- Détails du contact
- Numéro de sécurité sociale
- Détails de l’assurance
Pour aggraver les choses, IMY a déterminé que les données avaient été exposées via le portail de Trygg-Hansa à des parties non autorisées pendant plus de deux ans, entre octobre 2018 et février 2021.
Une période d’exposition aussi longue augmente la probabilité que quelqu’un découvre la faille et l’exploite pour collecter des informations sensibles.
Ce type de données peut ensuite être vendu à des cybercriminels et utilisé à des fins d’escroquerie, de phishing ou même d’extorsion des personnes exposées.
IMY a pu confirmer au moins 202 cas de clients dont les informations personnelles ont été exposées à des utilisateurs non autorisés, mais cela pourrait n’être que la pointe de l’iceberg.
« Les lacunes étaient d’une telle nature fondamentale que Trygg-Hansa aurait dû être en mesure de les détecter et d’y remédier avant l’introduction du système informatique actuel et, en tout cas, pendant la longue période d’utilisation du système. » -IMY
Selon IMY, l’incapacité de l’assureur à remédier aux problèmes pendant tout ce temps, même après avoir reçu des rapports sur la faille, indique un grave manque de sécurité des données et de mesures d’atténuation des risques pour lequel le régulateur a décidé d’imposer une pénalité administrative de 3 millions de dollars.