“黑客盯上了我们的一名员工。”美国保险公司AssuranceAmerica在发给客户的泄露通知中,把这句话写在了不起眼的角落里。这句话背后,是690万人的姓名、联系方式、驾照号码被完整打包带走。通知函显示,公司在3月17日发现系统里有黑客活动的痕迹,6月15日调查结束,结论是客户数据已被窃取。中间的三个月,攻击者有充分时间做任何事。

AssuranceAmerica成立于1998年,在美国十几个州经营汽车和租赁保险业务。作为一家大型保险机构,它日常经手的数据体量巨大——投保人信息、驾驶员详情、州政府签发的驾照编号,每一项在恶意人员手里都能转手变现。驾照号码可以用于身份冒用和欺诈,这点在数据黑市上早已不是秘密。这次泄露的规模有多大?根据美国印第安纳州总检察长办公室的信息披露记录,受影响人数为699万,通知函将在7月10日寄出。缅因州总检察长办公室应TechCrunch要求提供的副本同样列出699万人受影响。这是今年迄今为止已知的美国人驾照信息最大规模泄露。

打开网易新闻 查看精彩图片

被偷走的不只是驾照编号。泄露通知承认,黑客拿走的还包括客户的汽车保险保单和账户信息、驾驶员和车辆数据,以及理赔记录。公司没有指明还有其他哪些类型的个人信息被盗取,但在保险业这个合规要求极高的领域,单是理赔记录本身就包含事故细节、医疗信息、财产损失评估等内容。AssuranceAmerica对入侵的具体原因含糊其词,只说是员工凭证被突破,随后“禁用了被盗的凭据”。至于那些凭据是怎么到黑客手里的,公司没有说明。此前曾有多起涉及员工凭据失窃的入侵事件被指向窃取密码的恶意软件或受感染的软件工具,这次是否属于同类情况,目前无从确认。

时间线本身透露出一种令人不安的低效:3月17日发现入侵,6月15日才完成调查。在将近三个月的时间里,攻击者在内网的活动范围到底有多大,公司是否有能力完整还原攻击路径,这些都是没有答案的问题。TechCrunch向AssuranceAmerica首席执行官Joe Skruck和创始人Guy Millner发去了询问邮件,包括公司是否接触过攻击者、是否支付了赎金,但两人均未回应。一家掌握近700万人敏感数据的保险机构,在发生重大安全事件后选择对外界保持沉默,这种态度或许比泄露本身更值得追问。

把这次事件放进近期的数据泄露时间线里,会发现一个让人不安的模式。6月,得克萨斯州政府披露,黑客通过入侵该州公园和野生动物部门窃取了至少300万人的驾照号码和护照号码。更早之前,TechCrunch曾报道过多起涉及政府签发身份证件的大规模泄露事故,包括酒店入住系统、转账应用、监狱电话服务商等多个领域的安全漏洞,累计泄露量已达百万级别。保险、政府、酒店、支付、甚至监狱通讯,这些看似分散的行业共享同一个软肋:他们都在收集和存储同一种高价值数据——政府签发的身份凭证。攻击者不需要在每个行业找新的突破口,只需要找到一个安全最薄弱的环节。

AssuranceAmerica的泄露通知写得相当克制。它告诉客户姓名、联系方式和驾照号码被拿走了,保险公司账号和理赔细节也被拿走了,但没有展开说明这些东西组合在一起意味着什么。一个驾照号码加一份理赔记录,再加保险账户详情,足够拼凑出一个完整的个人资产画像。如果你恰好是受影响的近700万人之一,7月10日前后会收到一封信。目前的有效防护手段并不多——更换驾照号码在各州的流程繁琐程度不同,即便换到新号码,旧的泄露记录也不会消失。这件事唯一透露出的确定信息是:只要机构还在用员工凭据这一道防线保护数百万人的身份数据,下一封泄露通知只是时间问题。