Дайджест утечек конфиденциальных данных в страховании
Страхование часто сталкивается с утечками конфиденциальных данных. ЭАЦ составил дайджест утечек конфиденциальных данных в зарубежных страховых компаниях за прошлый год.
Согласно данным экспертно-аналитического центра ГК InfoWatch, в прошлом году количество утечек данных в мировой отрасли страхования сократилось почти в два раза (на 48,4%). В то же время в России зафиксирован рост количества утечек данных в страховой отрасли на 20%.
В общей сложности сфера страхования в мире потеряла за 2025 год более 140 млн записей персональных данных, что примерно в четыре раза (на 74,2%) меньше, чем в 2024 году, когда существенная доля скомпрометированной информации (190 млн записей) пришлась на инцидент в страховой компании UnitedHealth. В 2025 году столь огромных утечек данных страховой сфере удалось избежать.
Основным «поставщиком» новостей об утечках информации в страховании по-прежнему выступают Соединенные Штаты Америки. В 2025 году на них пришлись около половины всех утечек в данной отрасли.
Одна из самых масштабных утечек данных произошла летом. Входящая в список Fortune 500 американская страховая компания Aflac в ходе киберинцидента потеряла персональные данные 22,6 млн человек. Несмотря на быстрое обнаружение атаки и устранение ее последствий, хакеры получили доступ к системам, содержащим данные о клиентах, бенефициарах, сотрудниках, агентах и других лицах, связанных с Aflac. В результате инцидента были скомпрометированы имена, адреса, даты рождения, номера социального страхования, номера удостоверений личности, выданных государственными органами (например, номера паспортов/удостоверений личности штата), номера водительских удостоверений, медицинская информация и сведения о медицинском страховании. Специалисты по кибербезопасности заявляют, что атака на Aflac была организована группировкой Scattered Spider, объединившей усилия с ShinyHunters. Эти злоумышленники широко используют методы социальной инженерии. В числе их жертв летом 2025 года также оказались страховые компании Erie Insurance, Philadelphia Insurance и Allianz Life.
Компания Allianz Life, которая специализируется на услугах страхования жизни, призналась, что в середине лета потеряла данные большинства из 1,4 млн своих клиентов. Благодаря фишинговым приемам хакеру удалось взломать CRM-систему, используемую Allianz Life в Северной Америке. Помимо персональных данных клиентов, также скомпрометированы данные финансовых экспертов и некоторых сотрудников компании.
На одном из форумов Дарквеба в сентябре 2025 г. появилась в продаже база данных страховой компании American Income Life (AIL). Неизвестный продавец заявил, что данные были получены в результате взлома веб-сайта страховщиков. В результате инцидента могли пострадать сотни тысяч клиентов AIL. В частности, скомпрометированы имена, даты рождения, адреса, контактные данные и некоторые сведения о программах страхования. По словам экспертов, полученная конфиденциальная информация открывает перед злоумышленниками широкие перспективы для создания мошеннических учетных записей и проведения фишинговых атак.
Около 11 млн записей персональных данных, принадлежащих испанской страховой компании Asemas, были выставлены на продажу в Дарквебе. Вероятно, эта информация была украдена хакерами в результате взлома систем компании. Скомпрометированы данные как физических лиц, так и корпоративных клиентов Asemas. В частности, утекли имена и ID.
Крупная паназиатская страховая группа FWD, вероятно, стала жертвой кибератаки в мае 2025 г. В сообщении на подпольном форуме неизвестный продавец предлагал приобрести 9 млн записей персональных данных, относящихся к страховым полисам, оформленным во Вьетнаме. Образец включал такую информацию, как имена, номера удостоверений личности, даты рождения, пол, номера телефонов, адреса, название компании, местоположение (регион).