A AssuranceAmerica revelou uma violação de dados que afetou quase sete milhões de pessoas após invasores terem acesso aos sistemas da empresa por meio de um ataque de phishing direcionado a um funcionário. A seguradora afirmou que o incidente expôs números de carteira de motorista, registros de seguro e outras informações pessoais pertencentes a clientes de vários estados dos EUA.
De acordo com notificações de violação, a invasão começou em 16 de março, quando um funcionário foi enganado para fornecer acesso à rede da empresa. A AssuranceAmerica detectou atividade suspeita no dia seguinte e iniciou uma investigação com a ajuda de especialistas externos em cibersegurança.
A empresa determinou que os atacantes acessaram arquivos contendo informações relacionadas a 6.998.886 indivíduos. Os dados comprometidos variam de pessoa para pessoa, mas podem incluir nomes, endereços, datas de nascimento, números de carteira de motorista, números do Seguro Social, números de identificação fiscal, detalhes da apólice de seguro automotivo, informações de sinistros, informações do veículo e outros registros pessoais.
A AssuranceAmerica afirmou que não há evidências de que informações de contas financeiras ou dados de cartões de pagamento tenham sido afetados. No entanto, as informações expostas ainda podem representar um risco significativo de roubo de identidade porque contêm números de identificação emitidos pelo governo e registros relacionados a seguros que podem ser valiosos para cibercriminosos.
A seguradora começou a notificar as pessoas afetadas por correio em junho e está oferecendo serviços gratuitos de monitoramento de crédito e proteção de identidade para vítimas elegíveis. A empresa também incentiva os clientes a revisarem extratos de conta, monitorarem relatórios de crédito e permanecerem atentos a comunicações suspeitas que possam tentar explorar as informações roubadas.
Acredita-se que a violação tenha afetado segurados em mais de uma dúzia de estados. Reguladores estaduais também receberam notificações de violação, conforme exigido pelas leis aplicáveis de divulgação de violações de dados.
A AssuranceAmerica afirmou que fortaleceu suas medidas de segurança após o incidente, incluindo o aprimoramento do treinamento de conscientização sobre segurança dos funcionários e a implementação de salvaguardas adicionais destinadas a reduzir o risco de ataques de phishing semelhantes. A empresa não divulgou se os atacantes foram identificados ou se algum ransomware foi implantado durante a invasão.