5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
Une base de données en ligne de plus de 5 millions de dossiers appartenant apparemment à MedicareSupplement.com a été laissée ouverte et accessible au public. Le 13 mai 2019, Comparitech a travaillé aux côtés du chercheur en sécurité Bob Diachenko pour découvrir l'instance MongoDB accessible au public qui semble faire partie de la base de données de prospects marketing du site Web.
MedicareSupplement.com est un site Web de marketing d'assurance basé aux États-Unis qui permet aux utilisateurs de trouver une assurance médicale complémentaire disponible dans leur région. Les utilisateurs doivent saisir des informations personnelles afin d'obtenir un devis. Ce n'est pas une compagnie d'assurance.
Quelles informations ont été exposées ?
Les dossiers contenaient les informations personnelles suivantes :
- Nom et prénom
- Adresse complète
- adresse IP
- Adresse e-mail
- Date de naissance
- Genre
- Informations liées au marketing (durée du lead, clics, pages de destination, etc.)
Certains dossiers (environ 239 000) indiquaient également un domaine d'intérêt en matière d'assurance, par exemple l'assurance contre le cancer. Les données ont été réparties sur plusieurs catégories, notamment l’assurance vie, automobile, médicale et complémentaire.
L'adresse IP de la base de données accessible au public a été indexée pour la première fois le 10 mai 2019 par le moteur de recherche public BinaryEdge. Nous ne savons pas encore si quelqu'un a obtenu un accès non autorisé à la base de données.
Nous avons rapidement divulgué la base de données vulnérable à MedicareSupplement.com. Depuis, l'accès à la base de données a été désactivé et une configuration de sécurité des propriétés installée. Nous n'avons reçu aucune autre correspondance de la société par la suite.
Dangers des bases de données exposées
Diachenko, qui collabore avec Comparitech sur la recherche en matière de sécurité, affirme que les dangers d'exposer des bases de données telles que MongoDB ou NoSQL sans mot de passe ou autre authentification sont énormes :
« J'ai déjà signalé que le manque d'authentification permettait l'installation de malwares ou de ransomwares sur les serveurs MongoDB. La configuration publique permet aux cybercriminels de gérer l'ensemble du système avec tous les privilèges administratifs. Une fois le malware en place, les criminels pourraient accéder à distance aux ressources du serveur et même lancer une exécution de code pour voler ou détruire complètement toutes les données enregistrées sur le serveur.
Les personnes dont les informations ont été exposées, en particulier celles dont les dossiers incluaient un domaine d'intérêt d'assurance, pourraient être exposées au spam, au phishing ciblé et à la fraude.
Si vous avez utilisé MedicareSupplement.com dans le passé, soyez à l’affût de ces attaques. Faites particulièrement attention au vol d’identité médicale et apprenez comment repérer les e-mails de phishing .
À propos de MedicareSupplement.com
MedicareSupplement est un site de marketing d'assurance destiné directement aux consommateurs qui permet aux utilisateurs de Medicare d'obtenir des devis et de comparer divers régimes d'assurance complémentaire. Bien que MedicareSupplement ne soit pas une compagnie d'assurance, elle collecte une bonne quantité d'informations personnelles afin de fournir aux utilisateurs des devis.
MedicareSupplement.com appartient à TZ Insurance Solutions, LLC, dont le siège est à Fort Lee, New Jersey. C'est une entreprise accréditée par le Better Business Bureau depuis 2011 et a une note A+. Nous n’avons trouvé aucune trace de violations antérieures ou d’exposition de données.
TZ Insurance possède également TRANZACT, une entreprise proposant des solutions de vente et de marketing aux compagnies d'assurance. Nous avons contacté TZ Insurance Solutions pour plus d'informations sur cette exposition aux données.
