- Reclamación expuso 5.1 millones de archivos de seguro confidenciales en una base de datos pública no garantizada
- Los documentos incluyeron datos personales, detalles del vehículo y registros internos de la compañía
- Acceso restringido a reclamo y prometió actualizaciones de código después de que el investigador las alertó
Reclamación, una compañía que racionaliza el seguro de automóvil, reclama el seguro de automóvil, estaba filtrando datos confidenciales de los clientes sobre ClearWeb, incluidos los números de teléfono de las personas y las direcciones de correo electrónico, advirtió un experto.
El investigador de seguridad Jeremiah Fowler, conocido por buscar bases de datos mal configuradas y sin protección, recientemente encontró una de esas instancias que contenía 5.1 millones de archivos, compartiendo sus hallazgos con WebsitEplanet.
El archivo tenía un tamaño de 10 TB e incluía documentos como el poder notarial, el registro de vehículos, las estimaciones, las facturas de reparación e imágenes de vehículos dañados con placas visibles y números de VIN.
Fugas de reclamo
Los datos también incluyeron documentos de seguro con nombres, direcciones postales, números de teléfono y correos electrónicos y documentos de registro con detalles adicionales sobre vehículos, pero también documentos internos con términos, tarifas y otra información que no debería estar disponible para el público en general.
La investigación de Fowler lo llevó a reclamar, una compañía de tecnología de Hillside, Illinois, que proporciona una plataforma de documentación de fotos de autoservicio para optimizar las reclamaciones de seguros, las evaluaciones de daños e inspecciones remotas. Cubre múltiples industrias que incluyen seguros, envío de automóviles y contratación.
Reclamación es una organización relativamente pequeña y privada, que opera con menos de 25 empleados y genera aproximadamente $ 5 millones en ingresos anuales. De acuerdo a algunas fuentesprocesó más de 25,000 reclamos en todo Estados Unidos y creó asociaciones con empresas como la reubicación corporativa de Bluestar.
Poco después de que Fowler se acercara, la compañía restringió el base de datos desde el acceso público y se disculpó por el accidente.
“Hemos actualizado las políticas y nuestro código para abordar este problema y haremos esos cambios en vivo más tarde esta noche”, dijo Reclamación al investigador.
Algunos detalles siguen siendo desconocidos: no sabemos si reclamo opera este archivo, o si el trabajo se subcontrata a un tercero. Tampoco sabemos por cuánto tiempo permaneció abierto, y si algún actor de amenaza accedió antes de que se bloqueara. En el momento de la publicación, no había evidencia de que los archivos fueran robados o abusados en ataques de phishing.
