Navia Benefit Solutionsは、約270万人の個人情報を対象とした大規模なデータ漏洩を公表しました。このインシデントは、同社のシステムへの不正アクセスによって引き起こされ、従業員給付に関する機密性の高い個人情報が漏洩しました。
データ漏洩の概要
Naviaは、米国で1万件以上の雇用主のために従業員給付を管理する大手企業であり、柔軟な支出手当(FSA)や扶養家族のケア支援プログラムの詳細など、膨大な量の機密データを保有しています。今回のデータ漏洩は、攻撃者がAPIの脆弱性を悪用し、読み取り専用のアクセス権を取得したことが原因です。
技術的な詳細
- 脆弱性の悪用:攻撃者は、組織で使用されているAPIの脆弱性を悪用し、読み取り専用のアクセス権を取得しました。
- システムの改ざんなし:攻撃者はシステムを直接改ざんしたり、資金を移動させたりすることなく、環境を操作しました。
- APIの修正と登録停止:Naviaは、APIの脆弱性を修正し、認証制御を強化するために参加者登録を一時的に停止しました。
漏洩した情報
漏洩した情報には、以下のようなものが含まれます。
- 氏名、生年月日、住所などの個人識別情報
- メールアドレスや電話番号などの連絡先情報
- 社会保障番号やNavia ID番号などの機密情報
- HRA、FSA、COBRAへの参加状況、終了日などの給付プラン詳細
Naviaの対応と対策
Naviaは、不正アクセスを検知後、影響を受けたAPIエンドポイントを保護し、外部のフォレンジック専門家と協力して包括的な内部調査を開始しました。また、連邦法執行機関および関連する州および連邦規制当局に通知しました。影響を受けたユーザーを支援するため、Krollを通じて12ヶ月間の無料の身元保護および信用監視サービスを提供しています。ユーザーには、不正な活動がないか、信用情報を注意深く監視し、詐欺警告を設置することが強く推奨されています。
重要なポイント
- APIの脆弱性:今回の漏洩は、APIの脆弱性が原因で発生しました。
- 攻撃者の手口:攻撃者はシステムを改ざんすることなく、読み取り専用のアクセス権を取得しました。
- 影響範囲:270万人の個人情報が漏洩し、過去7年分のデータが含まれています。
- リスク:漏洩した情報は、標的型フィッシングやソーシャルエンジニアリングキャンペーンのリスクを高めます。
Naviaは、システムの多要素認証要件を強化しました。