Le procureur général James et le surintendant du DFS Harris obtiennent 11,3 millions de dollars de la part des compagnies d'assurance automobile à la suite de violations de données

NEW YORK - Le Procureur général de l'État de New York et Letitia James la surintendante du Département des services financiers (DFS) de l'État de New York, Adrienne A. Harris, ont obtenu aujourd'hui 11,3 millions de dollars de pénalités de la part de deux compagnies d'assurance automobile, la Government Employees Insurance Company (GEICO) et The Travelers Indemnity Company (Travelers), pour la mauvaise sécurité des données qui a conduit à la compromission des informations personnelles de plus de 120 000 New-Yorkais. Ces événements s'inscrivent dans le cadre d'une campagne menée par des pirates informatiques à l'échelle du secteur pour voler les informations personnelles des consommateurs, notamment les numéros de permis de conduire et les dates de naissance, à partir de formulaires de demande de devis d'assurance automobile en ligne, y compris ceux utilisés par GEICO et Travelers. Les pirates ont ensuite utilisé certaines des informations volées sur les permis de conduire pour déposer des demandes de chômage frauduleuses au plus fort de la pandémie de COVID-19. L'enquête du BVG a conclu que les compagnies d'assurance automobile n'avaient pas mis en place des contrôles de sécurité des données suffisants pour protéger les informations privées des consommateurs. L'enquête du DFS a conclu que les compagnies d'assurance automobile ne s'étaient pas conformées à la réglementation du DFS en matière de cybersécurité, qui les oblige à mettre en œuvre des politiques, des procédures et des contrôles destinés à protéger les données des consommateurs et les institutions financières elles-mêmes. Suite aux accords conclus aujourd'hui, GEICO paiera 9,75 millions de dollars de pénalités et Travelers 1,55 million de dollars.

"GEICO et Travelers offrent aux conducteurs une protection en cas d'urgence, mais ces sociétés n'ont pas protégé les informations personnelles des consommateurs", a déclaré le procureur général James. "Les violations de données peuvent conduire à des fraudes graves, et c'est pourquoi il est important que toutes les entreprises prennent au sérieux la cybersécurité et la protection des données. Je remercie le ministère des services financiers et le ministère du travail pour leur partenariat et leur travail continu visant à responsabiliser les entreprises qui ne protègent pas les consommateurs."

"La réglementation révolutionnaire du DFS en matière de cybersécurité établit une base vitale pour garantir la sécurité des données sensibles des consommateurs et la résilience des institutions financières", a déclaré la surintendante Adrienne Harris. "Ces mesures d'application renforcent l'engagement du ministère à veiller à ce que tous les titulaires de licences, en particulier ceux qui sont en possession d'informations financières sur les consommateurs comme GEICO et Travelers, respectent leur obligation de mettre en œuvre des mesures robustes qui protègent les New-Yorkais contre les violations de données potentielles et les cyber-menaces. Je remercie le bureau du procureur général pour la coordination dont il a fait preuve au cours de ces enquêtes".

À partir de novembre 2020, GEICO a subi une série de cyberattaques sur ses outils de devis d'assurance automobile. Les pirates ont pu obtenir les numéros de permis de conduire des New-Yorkais à partir du site web public de GEICO parce que cette dernière n'a pas protégé ces informations au niveau du back-end du site web. Bien qu'elle ait été informée par le DFS d'une campagne de cyberattaque à l'échelle du secteur visant à obtenir les numéros de permis de conduire, et qu'elle ait souffert, divulgué et remédié à des incidents de cybersécurité distincts, GEICO n'a pas procédé à un examen complet de ses systèmes afin de prévenir et de détecter de futures cyberattaques. Après que GEICO a remédié aux vulnérabilités de son site web, les pirates ont exploité les vulnérabilités de l'outil de devis des agents d'assurance de GEICO, une plateforme distincte du site web de devis d'assurance destiné aux consommateurs. Les cyberattaques de GEICO ont exposé les informations personnelles d'environ 116 000 résidents de New York, la grande majorité d'entre elles ayant été extraites de l'outil de devis des agents d'assurance de GEICO. Certaines des données exposées ont ensuite été utilisées pour déposer des demandes de chômage pendant la pandémie de COVID-19. 

Travelers a subi une cyberattaque sur son outil de devis d'assurance automobile destiné aux agents indépendants. Entre janvier et avril 2021, Travelers a reçu plusieurs alertes du secteur signalant que des pirates informatiques obtenaient des numéros de permis de conduire par le biais d'outils de devis d'assurance. En avril 2021, des pirates ont accédé au portail des agents de Travelers en utilisant des informations d'identification compromises, ce qui a permis aux utilisateurs de générer des rapports contenant les numéros de permis de conduire complets des consommateurs en texte clair. Le portail des agents d'assurance était protégé par un mot de passe mais n'utilisait pas d'authentification multifactorielle ou d'autres contrôles compensatoires, ce qui le rendait plus facile à exploiter. Travelers n'a pas détecté la violation de son portail d'agents pendant plus de sept mois et a été alerté de l'attaque par un fournisseur tiers de données de pré-remplissage. L'attaque de Travelers a exposé les informations personnelles d'environ 4 000 New-Yorkais.

Les accords conclus aujourd'hui obligent GEICO et Travelers à renforcer considérablement leur sécurité et à payer des pénalités à l'État. GEICO paiera 9 750 000 dollars de pénalités, dont 4 750 000 dollars garantis par le BVG et 5 millions de dollars garantis par le DFS. Travelers devra payer 1 550 000 dollars de pénalités, dont 350 000 dollars garantis par le BVG et 1 200 000 dollars garantis par le DFS.

Outre les sanctions, l'accord de règlement du BVG exige des entreprises qu'elles adoptent une série de mesures visant à renforcer leurs pratiques de cybersécurité à l'avenir :

• Maintenir un programme complet de sécurité de l'information conçu pour protéger la sécurité, la confidentialité et l'intégrité des informations privées ; 
• Élaborer et tenir à jour un inventaire des données privées et veiller à ce que les informations soient protégées par des mesures de sauvegarde ; 
• Maintenir des procédures d'authentification raisonnables pour l'accès aux informations privées ; 
• maintenir un système d'enregistrement et de surveillance ainsi que des politiques et procédures raisonnables conçues pour configurer correctement ce système afin d'être alerté en cas d'activité suspecte ; et    
• Améliorer leurs procédures de réponse aux menaces.   

Dans le cadre de ce règlement avec le DFS, GEICO a accepté de prendre des mesures correctives, y compris une évaluation complète des risques de cybersécurité et des tests de pénétration, ainsi que l'élaboration d'un plan d'action pour répondre à toutes les préoccupations qui en découlent. Travelers a accepté de revoir ses systèmes, d'évaluer les contrôles d'accès et d'améliorer les protections contre l'accès non autorisé aux NPI (informations personnelles non publiques).

Le procureur général James remercie le bureau des enquêtes spéciales du ministère du travail de l'État de New York pour son travail dans cette affaire. 

Le procureur général James a pris plusieurs mesures pour tenir les entreprises responsables de leur mauvaise cybersécurité et pour améliorer les pratiques en matière de sécurité des données. En octobre 2024, le procureur général James a obtenu 2,25 millions de dollars d'un prestataire de soins de santé de la région de la capitale pour ne pas avoir protégé les informations privées et les données médicales des New-Yorkais. En août 2024, le procureur général James et une coalition de plusieurs États ont obtenu 4,5 millions de dollars de la part d'une société de biotechnologie qui n'avait pas protégé les données des patients. En juillet, le procureur général James a publié deux guides sur la protection de la vie privée, le Business Guide to Website Privacy Controls et le Consumer Guide to Tracking on the Web, afin d'aider les entreprises et les consommateurs à se protéger. En juillet, le procureur général James a également publié une alerte aux consommateurs afin de les sensibiliser aux services gratuits de surveillance du crédit et de protection contre l'usurpation d'identité disponibles pour les millions de consommateurs touchés par la violation de données de Change Healthcare. En avril 2023, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En janvier 2022, le procureur général James a publié un guide à l'intention des entreprises sur les attaques par saturation des données d'identification (credential stuffing ), qui explique en détail comment les entreprises peuvent se protéger et protéger les consommateurs.

Ces affaires ont été menées pour le compte du BVG par les anciens procureurs généraux adjoints Hanna Baek et Ezra Sternstein, avec l'aide des procureurs généraux adjoints Gena Feist et Laura Mumm, du Senior Enforcement Counsel Jordan Adler, de l'analyste de la sécurité des données Nishaant Goswamy et de l'ancien analyste de l'Internet et de la technologie Joe Graham, sous la supervision du chef de bureau adjoint Clark Russell et du chef de bureau Kim Berger du Bureau de l'Internet et de la technologie.  L'analyse des données a été réalisée par Casey Marescot, analyste de données, et Blythe Davis, scientifique de données, sous la supervision de Gautam Sisodia, directeur adjoint, Victoria Khan, ancienne directrice adjointe, Megan Thorsfeldt, et ancien directeur, Jonathan Werberg, du département de recherche et d'analyse.  Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le premier vice-procureur général Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.