Hacker News 中文摘要

RSS订阅

安联人寿称网络攻击导致“多数”客户个人数据被盗 -- Allianz Life says 'majority' of customers' personal data stolen in cyberattack

原文链接 | HN讨论 | 2025-07-28 05:19:37

文章摘要

美国保险巨头安联人寿确认,7月中旬发生的数据泄露事件中,黑客窃取了其“大多数”客户、金融专业人士及员工的个人信息。泄露源于第三方云基CRM系统被恶意攻击者通过社交工程技术入侵。公司已通知FBI,并表示无证据显示其他系统受损,但未透露是否收到黑客勒索信息或具体攻击者身份。

文章总结

美国保险巨头安联人寿(Allianz Life)向TechCrunch证实,在7月中旬的一次数据泄露事件中,黑客窃取了其“大多数”客户、金融专业人士和员工的个人信息。

安联人寿发言人布雷特·温伯格(Brett Weinberg)向TechCrunch确认了此次事件。他表示,2025年7月16日,一名恶意攻击者入侵了安联人寿使用的第三方云端客户关系管理(CRM)系统,并利用社会工程学技术获取了与大多数客户、金融专业人士及部分员工相关的个人身份信息。

该公司在周六向缅因州总检察长提交的法律文件中披露了此次数据泄露事件,但未立即公布受影响的客户数量。据发言人透露,安联人寿拥有140万客户,而其母公司安联集团在全球拥有超过1.25亿客户。

安联人寿表示已通知联邦调查局(FBI),并补充称“没有证据”表明其网络中的其他系统受到侵害。该公司未透露是否收到黑客的任何通信,例如勒索信,也未将此次事件归因于某个特定的黑客组织。

安联人寿是过去一个月中遭受黑客攻击的最新一家保险公司,此前包括补充健康保险主要提供商Aflac在内的多家保险公司也遭遇了类似事件。谷歌的安全研究人员在6月表示,他们“注意到保险行业的多起入侵事件”,这些事件被归因于一个名为“Scattered Spider”的黑客组织,该组织依赖社会工程学技术,例如通过欺骗性电话诱骗帮助台人员授予其访问公司网络的权限。

在针对保险公司之前,Scattered Spider黑客曾瞄准英国零售业、航空和运输业,并以针对硅谷科技巨头的攻击而闻名。

根据缅因州提交的文件,安联计划于8月1日左右开始通知受影响的个人。

评论总结

评论主要围绕数据泄露问题展开,观点多样,以下是总结:

  1. 对行业现状的失望与批评

    • 评论1:认为行业现状令人失望,频繁的数据泄露事件反映了行业的无能。
      引用: "Our industry is pathetic."
    • 评论8:批评企业高管缺乏社会责任感,对数据泄露问题漠不关心。
      引用: "They behaved like misogynistic ogres and I can vividly imagine those people laugh about this."

  2. 改进数据安全的建议

    • 评论2:建议通过改变激励机制来减少数据泄露的影响,企业应承担更多责任。
      引用: "The onus and liability should be on the company involved."
    • 评论10:主张为白帽黑客提供法律保护,允许他们发现并报告安全漏洞。
      引用: "Security researchers, white-hat hackers, and even grey-hat hackers should have strong legal protections."

  3. 对企业的惩罚与监管

    • 评论3:认为只有让高管承担个人责任(如破产或入狱),才能减少数据泄露的频率和严重性。
      引用: "This will never, ever, ever stop happening until executives start going bankrupt and/or to jail for negligence."
    • 评论9:建议对每一条泄露的记录处以高额罚款,迫使企业重视数据安全。
      引用: "Mandatory £1000 fine per record lost. Would be company-terminal for companies with millions of customers."

  4. 技术解决方案与风险管理

    • 评论4:指出除非采用端到端加密技术,否则数据泄露难以避免,建议用户合理管理风险。
      引用: "Unless it's e2e encrypted, these incidents will occur. Manage your risk accordingly."
    • 评论7:呼吁建立临时文件上传系统,减少敏感信息泄露的风险。
      引用: "I should be able to upload somewhere temporary where these docs are checked then safely deleted."

  5. 对第三方责任的质疑

    • 评论5:质疑第三方系统的安全性,认为企业应对其合作伙伴的安全负责。
      引用: "So who the hell was the 'third-party, cloud-based CRM system'?"
    • 评论12:认为银行等机构应对使用公开信息进行身份验证的后果负责。
      引用: "If your bank authenticates using credentials that are generally publicly known by black-hats for most people—shouldn’t they be responsible for any breaches?"

  6. 对现状的无奈与愤怒

    • 评论6:指出政府对数据安全的监管不力,导致企业缺乏改进的动力。
      引用: "The punishment for poor data security is so low it’s not worth paying for it in most companies."
    • 评论15:批评企业在数据泄露后不透明,拒绝告知用户具体泄露的信息。
      引用: "Both Fred Hutch and UW refuse to tell individuals what data of theirs was compromised."

总结:评论普遍认为数据泄露问题严重,企业应承担更多责任,政府需加强监管,技术手段如加密和临时文件系统可减少风险,同时应鼓励白帽黑客参与安全漏洞的发现与修复。