根据黑客的说法,明星健康保险的首席信息安全官(CISO)以15万美元的价格出售了7.24TB的数据,而该黑客称公司的高级管理层也参与了此次数据泄露事件。
正当事态似乎逐渐平息之际,明星健康保险的数据泄露事件出现了戏剧性且令人震惊的转折。根据此次泄露事件的黑客声称,明星健康保险的首席信息安全官Amarjeet Khanuja涉嫌以15万美元出售了敏感的客户数据。
自称为xenZen的黑客进一步指控称,Khanuja随后试图修改交易条款,暗示公司高级管理层要求更多的钱以换取持续的后门访问。
“明星健康保险管理层的首席信息安全官Amarjeet(代号mc6)将所有这些数据卖给了我,然后试图更改交易条款,称公司的高级管理层需要更多的钱来获取后门访问权。”黑客在他的网站上写道,“此次泄露事件由明星健康保险发起,他们直接将这些数据卖给了我。”
发给Khanuja的一条短信查询没有得到回复。
此次泄露事件暴露了超过7.24TB的敏感客户信息,包括高度个人化的信息,如全名、PAN号和手机号码、电子邮件地址、出生日期、居住地址、既往病史、保单号码、受益人信息,甚至被保险人的身高和体重等。
黑客的揭露在社交媒体上迅速传播开来,一位名为Deedy Das的用户发布了一段据称是Khanuja与黑客之间的邮件往来,帖子显示,作为首席信息安全官的Khanuja牵头了明星健康保险客户数据的出售,将这批私密信息交给了黑客。据报道,这批数据卖出了15万美元的价格。
更令人震惊的是,黑客声称,在交易完成后,Khanuja试图修改协议,表示明星健康保险的高级管理层希望通过持续提供公司系统的后门访问来获取更多金钱。
如果这些指控属实,这将表明公司内部的安全协议和道德标准遭到了严重破坏,并将为这家保险公司带来严峻的法律和声誉后果。
“我们承认我们成为了一次有针对性的恶意网络攻击的受害者,导致某些数据被未经授权且非法访问。” 明星健康保险在一份声明中表示,“我们明确声明,我们的运营未受影响,所有服务继续不间断运行。”
然而,关于明星健康保险内部高层涉案的最新揭露,给该公司的安全措施和道德规范带来了严重的质疑。如果属实,这表明公司内部的数据治理存在深层次的漏洞。
“我们还要明确指出,我们的首席信息安全官在调查中给予了充分的配合,截至目前,我们尚未发现他有任何不当行为的证据。我们请求尊重他的隐私,因为我们知道威胁行为者正在试图制造恐慌。我们还要强调,任何未经授权获取、持有或传播客户数据的行为都是非法的。” 明星健康保险说道。
余波和调查
此次数据泄露最早是在2024年8月曝光,当时Telegram上的聊天机器人开始向用户提供被泄露的数据。
当时,明星健康保险在声明中声称,敏感客户数据“并未遭到广泛泄露”,但在这些新指控的背景下,这一立场显得越来越站不住脚。
周四,这家保险公司表示,目前正在进行由独立网络安全专家主导的彻底而严格的法证调查。
“我们在每个调查阶段都与政府和监管机构紧密合作。”声明补充道。
此前,该公司已向泰米尔纳德邦的网络犯罪部门以及国家网络安全机构CERT-In报告了此次数据泄露事件。管理层涉嫌参与此次安全事件的指控无疑会为正在进行的调查蒙上阴影,并可能导致监管机构和执法机构的更加严密的审查。
此次数据泄露事件已经引发了对公司数据安全基础设施的重大担忧,以及其保护敏感医疗和个人信息的能力。这些新指控将进一步聚焦明星健康保险如何审查内部员工,并控制对关键客户数据的访问权限。