Страховой регулятор США подтвердил утечку данных

Что произошло

Национальная ассоциация страховых комиссаров (NAIC), некоммерческая организация, ответственная за регулирование страховой системы в Соединенных Штатах, объявила о серьезном нарушении кибербезопасности. В заявлении организации подтверждается, что злоумышленники проникли в ее системы и получили доступ к конфиденциальной информации, включая данные о кредитных рейтингах граждан США. Инцидент вызвал обеспокоенность в страховом и финансовом секторах.

Согласно хронологии, представленной NAIC, кибератака была впервые обнаружена 11 июня 2026 года. После обнаружения организация незамедлительно начала расследование и предприняла шаги для локализации ситуации. Первое публичное заявление было сделано примерно через неделю, 17 июня. Самое последнее подробное обновление по этому вопросу было опубликовано 26 июня. В этом обновлении была предоставлена дополнительная информация о технических причинах взлома и характере затронутых данных. Хотя это демонстрирует стремление организации прозрачно информировать заинтересованные стороны и общественность, конфиденциальный характер утекших данных не смог полностью развеять опасения.

Какие данные были скомпрометированы

По предварительным данным NAIC, данные, к которым получили доступ и которые частично опубликовали злоумышленники, весьма разнообразны, и некоторые из них являются критически важными. Организация предоставила прозрачный список скомпрометированных типов данных. В число этих данных входят:

• Информация из обязательной финансовой отчетности: Эта категория включает информацию, которая уже была общедоступна через веб-сайты штатов или реселлеров данных, таких как InsData. Значимость компрометации этих данных заключается не в их новизне, а в том, что они были получены в консолидированном виде из одного источника.
• Данные кредитных рейтинговых агентств: Это самая чувствительная часть утечки. Этот набор данных, содержащий критически важную информацию, такую как решения о рейтингах инвестиций страховщиков, имеет высокую ценность для финансовых рынков. Утечка этих данных может раскрыть инвестиционные стратегии страховых компаний и потенциально создать возможности для манипулирования рынком.
• Потенциально другие данные из хранилищ: NAIC заявила, что злоумышленники могли получить доступ и к дополнительным данным. К ним может относиться рутинная техническая информация, такая как устаревшие журналы (логи) или конфигурационная информация. Хотя такие данные на первый взгляд могут показаться безвредными, они могут быть использованы для выявления уязвимостей или архитектуры системы для последующих атак.

Организация также начала предоставлять информацию о данных, которые не были затронуты утечкой, однако в исходном тексте полный список отсутствовал. Таким образом, четкая картина того, какие критически важные данные остались в безопасности, еще не сложилась. В результате взлома некоторые кредитные рейтинговые агентства, как сообщается, приостановили передачу данных в NAIC. Это привело к тому, что NAIC временно приостановила присвоение обозначений инвестициям страховщиков. Организация посоветовала страховщикам следить за обновлениями в системе AVS+ (Automated Valuation Service Plus).

Как произошла атака

Согласно заявлению NAIC, кибератака была осуществлена с использованием весьма изощренного метода. Злоумышленники воспользовались уязвимостью нулевого дня в программном обеспечении Oracle PeopleSoft, которое организация использует для внутренней финансовой отчетности. Уязвимость нулевого дня — это брешь в безопасности, неизвестная даже разработчику программного обеспечения, для которой еще не выпущен патч. Такие уязвимости предоставляют злоумышленникам значительное преимущество для незаметного проникновения в системы.

Организация заявила, что это был не единичный инцидент, а часть более широкой кампании кибератак, нацеленной на несколько организаций в то время. Проникнув в среду PeopleSoft, злоумышленники получили необходимую информацию для временного доступа к определенным областям хранения данных. Используя этот доступ, они скопировали перечисленные выше конфиденциальные данные и опубликовали их часть в интернете. Информация о злоумышленниках, стоящих за атакой, или полные технические детали пока не разглашаются.

Кто пострадал

Последствия этой утечки данных затрагивают широкий круг сторон. Непосредственно пострадавшие включают:

• Национальная ассоциация страховых комиссаров (NAIC): Сама организация является главной жертвой атаки с точки зрения ее операционной целостности и репутации. Прекращение потоков данных и приостановка услуг напрямую влияют на способность организации выполнять свои основные функции.
• Страховые компании: В связи с приостановкой присвоения инвестиционных рейтингов, инвестиционные стратегии и финансовое планирование этих компаний могут пострадать. Кроме того, их доверие к системам NAIC было подорвано.
• Кредитные рейтинговые агентства: Компрометация их собственных данных и необходимость прекратить передачу данных в NAIC делают эти агентства стороной инцидента.
• Граждане США: Утечка данных о кредитных рейтингах косвенно затрагивает граждан США. Пока неясно, будут ли эти данные использованы в целях кражи личных данных или финансового мошенничества.

Что вы можете сделать

В условиях такого крупномасштабного нарушения различные группы могут предпринять несколько мер:

• Организации, использующие Oracle PeopleSoft: Источник указывает, что атака была частью широкой кампании, нацеленной на несколько организаций. Поэтому для всех организаций, использующих программное обеспечение Oracle PeopleSoft, критически важно немедленно применить любые экстренные патчи, выпущенные Oracle, проверить свои системы на предмет подозрительной активности и принять проактивные меры против потенциальной утечки.
• Профессионалы страховой отрасли: Следуя совету NAIC, им следует внимательно следить за обновлениями на платформе AVS+. Им также может потребоваться пересмотреть свои бизнес-планы с учетом возможных задержек в присвоении инвестиционных рейтингов.
• Частные пользователи и граждане: Учитывая возможность компрометации данных кредитных рейтингов, гражданам рекомендуется регулярно проверять свои кредитные отчеты и сообщать о любой подозрительной или незнакомой активности в соответствующие органы. Важно быть бдительными в отношении кражи личных данных.

Что говорит компания

В своих публичных заявлениях по поводу инцидента NAIC старалась действовать прозрачно. В последнем обновлении от 26 июня организация подтвердила, что атака была вызвана уязвимостью нулевого дня в Oracle PeopleSoft и являлась частью широкомасштабной кампании, затронувшей несколько организаций. В заявлении говорилось: «Неавторизованный субъект получил доступ к части нашей среды, воспользовавшись уязвимостью нулевого дня в Oracle PeopleSoft, которую мы используем для внутренней финансовой отчетности». NAIC заявила, что расследование продолжается и что они будут продолжать информировать пострадавшие стороны. Они также подчеркнули, что работают над восстановлением потоков данных с кредитными рейтинговыми агентствами и нормализацией операций.

Источник

https://www.infosecurity-magazine.com/news/us-insurance-regulator-confirms/