Durch unbefugten Zugriff sind Daten von 4,38 Millionen Menschen abgeflossen, Aflac will untersuchen und Wiederholung verhindern
Dritter dringt in Spezialseite ein
Bei Aflac Life Insurance hat es einen unbefugten Zugriff gegeben, bei dem Kundendaten von rund 4,38 Millionen Menschen abgeflossen sind. Ein Dritter drang in die spezielle Website für Versicherungsnehmer ein, und über einen Zeitraum von 11 Tagen wurden große Datenmengen eingesehen. Darunter waren auch Bankkontoinformationen, die Versicherten werden aufgefordert zu prüfen, ob es verdächtige Transaktionen gibt.
Spuren von Einsichtnahmen seit dem 15. Juni
Das Unternehmen bemerkte die Auffälligkeit erstmals am 25. Juni. Auf 'Aflac Yorisou Net', über die sich Vertragsinhalte prüfen oder Vertragsinhaber ändern lassen, erkannte das System einen hohen Lastzustand, in dem große Datenmengen verarbeitet wurden. Die anschließende Untersuchung ergab, dass ein bestimmter Nutzer eine enorme Zahl von Versicherungsnehmer-Seiten aufgerufen hatte; zudem stellte sich heraus, dass die Zugriffe seit dem 15. Juni andauerten.
Auch Kontoinformationen und Vertriebsstellen-Daten geleakt
Zu den abgeflossenen Daten zählen Name, Adresse, Telefonnummer, Policennummer und Leistungsinhalte. Bei rund 230.000 Personen waren auch Bankkontoinformationen für den Einzug der Versicherungsprämien enthalten. Darüber hinaus wurden auch Adressen und Telefonnummern von rund 40.000 Vertriebsstellen offengelegt. Sensible Daten wie Krankengeschichte, Kreditkartendaten oder die My Number seien nicht enthalten. Bislang sei zudem nicht bestätigt worden, dass persönliche Daten von Dritten unbefugt genutzt wurden.
Finanzinstitute erhöhen die Wachsamkeit
Die geleakten Informationen enthalten offenbar auch Daten von Versicherungsnehmern, deren Verträge bereits gekündigt wurden oder ausgelaufen sind. Derzeit ist der Zugang zur Kundenwebsite nicht möglich; bei verdächtigen Kontakten oder der Sorge vor unbefugten Transaktionen nimmt das Callcenter Meldungen entgegen. Sollten tatsächlich finanzielle Schäden oder Ähnliches bestätigt werden, werde der Fall im Einzelfall untersucht und auch Schadensersatz geprüft.
Allein mit der Kontonummer sind unbefugte Abbuchungen nicht sofort möglich, doch wenn Geheimnummern oder Passwörter fürs Online-Banking offengelegt werden, steigt das Risiko von Folgeschäden. Die Personal Information Protection Commission erklärte zu Fällen, in denen die Kombination aus Bankkontoinformationen und Passworten geleakt wird, dies könne als eine Offenlegung personenbezogener Daten gelten, bei der die Gefahr finanzieller Schäden bestehe. Die Finanzaufsicht FSA erließ am 30. Juni gegen Aflac eine Anordnung zur Vorlage eines Berichts auf Grundlage des Versicherungsgesetzes.
Wenn Ihnen dieser Artikel geholfen hat, teilen Sie ihn gerne.