Le procureur général James obtient 500 000 dollars d'une compagnie d'assurance automobile à la suite d'une violation de données

La mauvaise sécurité des données de Noblr a permis à des pirates informatiques de voler les numéros de permis de conduire des New-Yorkais et d'obtenir frauduleusement des allocations de chômage.
Le procureur général James a obtenu 5,6 millions de dollars de la part de trois compagnies d'assurance automobile qui n'ont pas protégé les données des consommateurs.

NEW YORK - Le procureur général de New York, Letitia James, a obtenu aujourd'hui 500 000 dollars de la compagnie d'assurance automobile Noblr pour ne pas avoir protégé les informations personnelles de plus de 80 000 New-Yorkais dans le cadre d'une violation de données. Cette violation de données s'inscrit dans le cadre d'une campagne menée à l'échelle du secteur par des escrocs pour voler les informations personnelles des consommateurs, notamment les numéros de permis de conduire et les dates de naissance, à partir de demandes de devis d'assurance automobile en ligne. Les escrocs ont ensuite utilisé certaines des informations du permis de conduire volé pour déposer des demandes de chômage frauduleuses au plus fort de la pandémie de COVID-19. Outre Noblr, le procureur général James a également tenu GEICO et Travelers responsables de ne pas avoir protégé les informations personnelles des New-Yorkais, ce qui porte à 5,6 millions de dollars le montant total obtenu des compagnies d'assurance automobile pour des manquements en matière de cybersécurité.

"Les compagnies d'assurance automobile offrent aux conducteurs une protection en cas d'urgence, mais elles doivent également protéger leurs informations personnelles contre les pirates informatiques et les escrocs", a déclaré le procureur général James. "Noblr n'a pas sécurisé ses systèmes de données, ce qui a permis à des escrocs de voler des informations sur les New-Yorkais et d'utiliser certaines de ces informations pour obtenir frauduleusement des allocations de chômage. Aujourd'hui, nous tenons Noblr pour responsable de son imprudence avec les données personnelles des New-Yorkais et nous rappelons à toutes les entreprises qu'elles doivent donner la priorité à la cybersécurité".

Noblr est une compagnie d'assurance qui permet aux consommateurs d'obtenir un devis par le biais d'un outil de devis d'assurance en ligne. L'outil de devis de Noblr exposait les numéros de permis de conduire complets en clair de plusieurs façons, notamment sur le backend de son site web et dans les PDF générés lors d'un achat. Noblr n'a pas non plus empêché les utilisateurs de saisir les informations personnelles de résidents de l'État de New York, bien que Noblr ne propose pas de produits d'assurance dans cet État. 

Noblr a découvert que des escrocs exploitaient la vulnérabilité du préremplissage en janvier 2021. Noblr n'a pas surveillé le trafic de son site en temps réel, ce qui a retardé la détection de l'attaque. Cette absence de contrôle du trafic sur le site a également rendu difficile la distinction entre les activités malveillantes et les demandes légitimes des consommateurs. L'attaque contre l'outil de citation automatique de Noblr a exposé les données d'environ 80 000 résidents de New York. 

L'enquête du bureau du procureur général a déterminé que la compagnie d'assurance n'avait pas adopté de mesures de protection raisonnables pour protéger les informations privées. Outre le paiement de 500 000 dollars de pénalités, Noblr est tenu d'améliorer la sécurité de ses données, notamment par les moyens suivants :

  • Améliorer les défenses de ses applications web ;
  • Maintenir un programme complet de sécurité de l'information conçu pour protéger la sécurité, la confidentialité et l'intégrité des informations privées ;
  • Élaborer et tenir à jour un inventaire des données privées et veiller à ce que ces informations soient protégées par des mesures de sauvegarde raisonnables ;
  • maintenir des procédures d'authentification raisonnables pour l'accès aux informations privées ; et
  • Maintenir un système d'enregistrement et de surveillance afin de signaler toute activité suspecte au sein de leurs systèmes.

Le procureur général James a pris plusieurs mesures pour tenir les entreprises responsables de leur mauvaise cybersécurité et pour améliorer les pratiques en matière de sécurité des données. Le mois dernier, le procureur général James et la surintendante du DFS Adrienne Harris ont obtenu 11,3 millions de dollars de GEICO et de Travelers pour la mauvaise sécurité de leurs données. En octobre 2024, le procureur général James a obtenu 2,25 millions de dollars d'un prestataire de soins de santé de la région de la capitale pour ne pas avoir protégé les informations privées et les données médicales des New-Yorkais. En août 2024, le procureur général James et une coalition de plusieurs États ont obtenu 4,5 millions de dollars de la part d'une société de biotechnologie qui n'avait pas protégé les données des patients. En juillet, le procureur général James a publié deux guides sur la protection de la vie privée, le Business Guide to Website Privacy Controls et le Consumer Guide to Tracking on the Web, afin d'aider les entreprises et les consommateurs à se protéger. En juillet, le procureur général James a également publié une alerte aux consommateurs afin de les sensibiliser aux services gratuits de surveillance du crédit et de protection contre l'usurpation d'identité disponibles pour les millions de consommateurs touchés par la violation de données de Change Healthcare. En avril 2023, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En janvier 2022, le procureur général James a publié un guide à l'intention des entreprises sur les attaques par saturation des données d'identification (credential stuffing ), qui explique en détail comment les entreprises peuvent se protéger et protéger les consommateurs.

Cette affaire a été menée par les procureurs généraux adjoints Gena Feist et Laura Mumm, ainsi que par les anciens procureurs généraux adjoints Hanna Baek et Ezra Sternstein, l'analyste de la sécurité des données Nishaant Goswamy et l'ancien analyste de l'Internet et de la technologie Joe Graham, sous la supervision du chef de bureau adjoint Clark Russell et du chef de bureau Kim Berger du bureau de l'Internet et de la technologie. L'analyse des données a été réalisée par Casey Marescot, analyste de données, et Blythe Davis, scientifique de données, sous la supervision de Gautam Sisodia, directeur adjoint, Victoria Khan, ancienne directrice, Megan Thorsfeldt, et ancien directeur, Jonathan Werberg, du département de recherche et d'analyse. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le premier vice-procureur général Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.