Violação de Dados da Allianz Life Afeta 1,1 Milhão de Clientes

Allianz Life, uma subsidiária dos EUA da seguradora global Allianz SE, confirmou que hackers comprometeram os dados pessoais de 1,1 milhão de clientes, destacando os riscos crescentes para as empresas de serviços financeiros que dependem de plataformas de nuvem de terceiros.

A empresa, que atende 1,4 milhão de clientes nos EUA, disse que a violação foi descoberta em julho e resultou de um comprometimento de um sistema de gerenciamento de relacionamento com o cliente (CRM) baseado em Salesforce em 16 de julho. Os hackers obtiveram acesso ao implantar aplicativos OAuth maliciosos, que lhes permitiram infiltrar-se nos sistemas da Salesforce antes de baixar os bancos de dados da empresa.

Quais dados foram vazados?

De acordo com o site de notificação de violação Have I Been Pwned, os dados vazados incluem nomes, endereços de e-mail, números de telefone, endereços físicos, gêneros e datas de nascimento. Em alguns casos, números de Seguro Social e IDs fiscais também foram comprometidos. A violação também se estendeu a certos funcionários da Allianz Life, cujas informações foram expostas junto com os dados dos clientes.

O notório grupo de cibercrime ShinyHunters, que assumiu a responsabilidade pelo ciberataque, realizou uma série de ciberataques de alto perfil nos últimos anos, incluindo violações na AT&T, Snowflake e Workday. O grupo de hackers é conhecido por usar técnicas de engenharia social para enganar funcionários a conceder acesso a sistemas corporativos, muitas vezes usando dados roubados para exigir resgates. Outras grandes marcas atingidas por sua campanha incluem Google, Adidas, Qantas, Louis Vuitton e Tiffany & Co.

“Grupos como o ShinyHunters dependem de táticas de engenharia social de rápida movimentação – isso geralmente envolve ligar e enviar e-mails para funcionários da organização vítima e tentar extorqui-los. Se isso não funcionar, eles lançam um site de vazamento com o objetivo de pressionar as vítimas a pagarem”, disse Jon Abbott, CEO da ThreatAware.

“Esse padrão em seus ataques é o motivo pelo qual os fundamentos de segurança são tão importantes. Inventários de ativos precisos, verificação de identidade à prova de adulteração e processos de atendimento ao cliente reforçados são todos essenciais.”

Especialistas em segurança alertam que a violação da Allianz pode deixar seus clientes e funcionários vulneráveis a fraudes de identidade, golpes de phishing e tentativas de fraude. A Allianz Life disse que relatou a violação às autoridades dos EUA e está oferecendo aos clientes e funcionários afetados dois anos de serviços gratuitos de monitoramento de identidade. No entanto, a empresa se recusou a compartilhar mais detalhes, citando uma investigação em andamento.

Por enquanto, os clientes da Allianz Life estão sendo instados a permanecer vigilantes, monitorar suas contas financeiras de perto e ficar atentos a e-mails ou telefonemas suspeitos.

Enquanto isso, a Salesforce, por sua parte, enfatizou que sua plataforma em si não foi comprometida. Em vez disso, os atacantes enganaram os funcionários das empresas para concederem acesso.

“A plataforma Salesforce não foi comprometida, e esse problema não se deve a nenhuma vulnerabilidade conhecida em nossa tecnologia”, disse um porta-voz em um comunicado ao TechRadar Pro.

“Sabemos o quão disruptivos e estressantes esses incidentes podem ser, e nossas equipes estão totalmente engajadas para apoiar os clientes afetados e ajudar a minimizar qualquer impacto. Nosso blog fornece contexto adicional e orientações sobre como fortalecer a postura de segurança contra ataques de engenharia social, incluindo melhores práticas, controles de acesso fortes e medidas proativas.”

O incidente destaca os riscos crescentes em torno dos dados pessoais. Mostra quão rapidamente os criminosos podem transformar informações pessoais em uma arma e por que as empresas devem se proteger contra truques de funcionários. Especialistas dizem que incidentes como este ressaltam a importância de defesas mais fortes contra engenharia social, bem como uma supervisão mais rigorosa dos serviços de nuvem de terceiros que armazenam dados de clientes.