Trygg-Hansa оштрафована на 290 млн рублей за утечку данных клиентов

Шведское Управление по защите конфиденциальности (IMY) оштрафовало страховую компанию Trygg-Hansa на 290 млн рублей за утечку персональных данных клиентов через онлайн-портал компании.

Trygg-Hansa предоставляет страховые услуги для физических лиц, частных компаний и государственных организаций, а также занимается управлением активами и инвестиционным консалтингом.

Расследование IMY было инициировано после жалобы одного из клиентов Trygg-Hansa, который обнаружил, что через URL-адреса в почтовых или смс-рассылках с предложениями страховки можно получить доступ ко всей внутренней базе данных компании.

Управление подтвердило, что доступ к базе данных был открыт без аутентификации и можно было просматривать конфиденциальные документы других лиц, меняя идентификатор клиента в ссылке.

Всего около 650 тыс. клиентов могли быть потенциально затронуты утечкой данных, включая их персональные данные, информацию о состоянии здоровья, детали страховых случаев, финансовую информацию, контактные данные и др.

Неавторизованный доступ к этим сведениям был открыт на протяжении более двух лет, что позволяло любому желающему получить свободный доступ к данным клиентов.

IMY подтвердила как минимум 202 случая неавторизованного доступа к персональным данным клиентов, но реальное число может быть значительно больше.

Регулятор указал на серьезные недостатки в обеспечении безопасности данных со стороны страховщика, который должен был обнаружить и устранить уязвимость ещё на этапе внедрения системы и в течение всего периода её эксплуатации. В связи с этим IMY наложило на Trygg-Hansa штраф в размере 290 млн рублей.