AssuranceAmerica ha revelado una brecha de datos que afecta a casi siete millones de personas después de que los atacantes accedieran a los sistemas de la empresa mediante un ataque de phishing dirigido a un empleado. La aseguradora afirmó que el incidente expuso números de licencia de conducir, registros de seguros y otra información personal perteneciente a clientes de varios estados de EE. UU.
Según las notificaciones de brecha, la intrusión comenzó el 16 de marzo cuando un empleado fue engañado para que proporcionara acceso a la red de la empresa. AssuranceAmerica detectó actividad sospechosa al día siguiente y lanzó una investigación con la ayuda de especialistas externos en ciberseguridad.
La empresa determinó que los atacantes accedieron a archivos que contenían información relacionada con 6.998.886 individuos. Los datos comprometidos varían según la persona, pero pueden incluir nombres, direcciones, fechas de nacimiento, números de permiso de conducir, números de Seguridad Social, números de identificación fiscal, detalles de pólizas de seguro de automóvil, información de reclamaciones, datos del vehículo y otros registros personales.
AssuranceAmerica afirmó que no hay pruebas de que la información de las cuentas financieras o los datos de tarjetas de pago se vieran afectados. Sin embargo, la información expuesta podría representar un riesgo significativo de robo de identidad porque contiene números de identificación emitidos por el gobierno y registros relacionados con seguros que pueden ser valiosos para los ciberdelincuentes.
La aseguradora comenzó a notificar a las personas afectadas por correo en junio y ofrece servicios gratuitos de monitorización crediticia y protección de identidad a las víctimas elegibles. La empresa también anima a los clientes a revisar los extractos de cuenta, monitorizar los informes de crédito y mantenerse alerta ante comunicaciones sospechosas que puedan intentar explotar la información robada.
Se cree que la brecha afectó a los asegurados en más de una docena de estados. Los reguladores estatales también han recibido notificaciones de brechas, como exige la legislación aplicable sobre divulgación de brechas de datos.
AssuranceAmerica afirmó que ha reforzado sus medidas de seguridad tras el incidente, incluyendo el fortalecimiento de la formación en concienciación de seguridad de los empleados y la implementación de salvaguardas adicionales diseñadas para reducir el riesgo de ataques de phishing similares. La empresa no ha revelado si se han identificado a los atacantes ni si se desplegó algún ransomware durante la intrusión.