I clienti telefonavano alla compagnia assicurativa per chiedere un preventivo ma i loro dati sensibili finivano online
Nel 2020 un cliente si era rivolto alla compagnia assicurativa Moderna försäkringar per segnalare una falla di sicurezza che rendeva possibile l'accesso ai dati sensibili di altri clienti, ma a quanto pare la persona che aveva preso la chiamata non aveva dato peso alla telefonata, non comprendendo che si trattava di un serio data breach. Non sentendosi considerato, il cliente aveva quindi deciso di riferire il fatto all’autorità per la protezione dei dati svedese (IMY), che da parte sua avviava subito un’indagine sul caso.
Il cliente aveva infatti scoperto che tutti coloro che contattavano telefonicamente il servizio clienti della compagnia assicurativa per richiedere un preventivo ricevevano un messaggio di testo o un'email con un link a un indirizzo web univoco che collegava alla pagina online del preventivo, su cui c'erano collegamenti cliccabili con indirizzi web ai documenti con i dettagli sulla polizza.
Peccato che modificando semplicemente alcuni caratteri degli url direttamente dal browser sostituendo i numeri con altri numeri era possibile accedere ai documenti di altri clienti visualizzando i loro dati personali, tra cui informazioni sulla salute, dettagli sulle condizioni applicate, informazioni finanziarie, dettagli di recapiti, numero di identificazione previdenziale (Social Security Number), e varie informazioni dell'assicurazione richiesta.
Secondo quanto riporta il quotidiano svedese Computer Sweden, i dati sarebbero stati liberamente accessibili per oltre due anni tra ottobre 2018 e febbraio 2021, e in questo modo sarebbe stato possibile vedere i dati di ben 650.000 clienti.
I documenti accessibili a persone non autorizzate contenevano in alcuni casi informazioni sulla salute degli interessati che avevano anche un elevato livello di dettaglio, in modo che fosse possibile scoprire, ad esempio, come si è verificato un problema di salute o dettagli sulla condizione della loro salute.
Successivamente, la Moderna försäkringar nell'aprile 2022 si fondeva con Trygg-Hansa, società di assicurazioni per privati, aziende e organizzazioni pubbliche, ed anche società di consulenza in materia di gestione patrimoniale e investimenti, ma neanche dopo la fusione nessuno si preoccupava di interessarsi del problema per tappare la falla nel sistema informatico.
Nel frattempo, l’autorità per la protezione dei dati aveva proseguito l’indagine ed era stata in grado di confermare che le informazioni personali di almeno 202 clienti erano state effettivamente esposte online a utenti non autorizzati, anche se questo poteva rappresentare solamente la punta dell'iceberg.
In un commento pubblicato su Computer Sweden, l’avv. Evelin Palmér dell’autorità svedese spiega che nel complesso la grande quantità di dati personali ha permesso di ricostruire un quadro chiaro della situazione privata di ciascuna persona.
Secondo l’autorità, le falle di sicurezza erano di natura talmente elementari che avrebbero dovuto essere scoperte e risolte prima dell'introduzione del sistema informatico o almeno durante il lungo periodo in cui il sistema è stato utilizzato, motivo per cui il Garante svedese ha ritenuto che la compagnia abbia violato il GDPR per non aver adottato misure tecniche adeguate per creare il necessario livello di sicurezza in relazione al rischio. Pertanto, l’autorità ha inflitto una sanzione a Trygg-Hansa di 35 milioni di corone svedesi, pari a circa 3 milioni di euro.
