Страховщики ответят за компрометацию клиентских записей

Французское управление по защите данных (CNIL) оштрафовало на 180 тыс. евро (примерно $225 тыс.) страховую компанию Active Assurance, допустившую утечку персональных данных клиентов со своего сайта. Об этом сообщает ресурс privacy-ticker.com.

Active Assurance – страховой агрегатор. На сайте компании клиенты могут выбрать автомобильную страховку из большого списка предложений. Здесь же можно подписать соглашение и получить доступ к личному кабинету.

В 2018 г. французский информационный регулятор CNIL получил от одного из клиентов Active Assurance жалобу, где говорилось, что доступ к различным аккаунтам можно получить по гипертекстовым ссылкам в поисковой выдаче. А небольшое изменение URL-адресов открывало доступ к сведениям о различных документах: водительские удостоверения, банковские выписки, а также данным о том, был ли водитель лишен прав и скрывался ли он с места ДТП.

Проинформировав компанию-страховщика о нарушении, через несколько дней CNIL получил сообщение о том, что были предприняты необходимые меры для устранения утечки. Однако, аудит, проведенный регулятором, показал, что эти меры были недостаточными. Согласно решению CNIL, Active Assurance нарушила статью 32 общеевропейского регламента GDPR. Страховая компания должна была строго контролировать доступ к данным только уполномоченных лиц. Кроме того, Active Assurance необходимо было дать клиентам инструкции по использованию сложных паролей и не рассылать пароли в виде простого текста по электронной почте.

Количество пострадавших клиентов не называется. Учитывая серьезность нарушения, СNIL счел необходимым оштрафовать Active Assurance на 180 тыс. евро.