安联人寿数据泄露:第三方网络风险案例研究
- 一个精致的社会工程攻击针对的是第三方 CRM 系统,而不是 Allianz 的内部网络。
- 被盗数据包括各种个人身份信息 (PII),例如姓名和社会安全号码。
- 安联人寿通知了联邦调查局,并向受影响的人提供免费的信用监控。
- 该事件凸显了公司迫切需要采取零信任安全模型并优先考虑持续、复杂的安全意识培训。
2025 年 7 月 16 日,一名恶意威胁行为者被认为是臭名昭著的闪亮猎人集团对北美安联人寿保险公司实施了数据泄露。此次泄露源于一个复杂的社会工程操纵员工授予未经授权的访问权限的活动第三方、基于云客户关系管理(CRM)系统。
这种方法允许攻击者使用 Salesforce Data Loader 工具窃取该公司 140 万美国客户中大多数的敏感个人数据,以及来自财务专业人士和精选员工的信息。
该事件于 2025 年 7 月 17 日发现,并没有直接损害安联人寿的内部网络,而是突显了组织数字供应链中存在的关键漏洞以及持久存在的漏洞。现代网络攻击中的人为因素。
该公司的回应是启动遏制措施,通知联邦调查局,并向受影响的个人提供信用监控和身份盗窃保护。
安联人寿违规概述
安联人寿数据泄露是一次迅速而有针对性的行动,发生时间很短。当威胁行为者成功获得对第三方系统的未经授权的访问时,攻击就开始了。安联人寿一发现违规行为,就立即采取措施遏制和缓解这一事件。
该公司的迅速反应包括通知联邦调查局并向缅因州总检察长办公室提交数据泄露通知。消费者通知已于 2025 年 8 月 1 日发出,其中提供免费的身份盗窃保护和信用监控服务。
受该漏洞影响的具体人数有不同的报告,这在大规模网络事件中很常见。安联人寿证实,除了金融专业人士和一些员工外,此次违规行为还影响了其 140 万美国客户中的“大多数”。安全研究人员来自我被骗了吗(HIBP)后来报道称,该事件导致 110 万个唯一电子邮件地址被曝光,这是对已确认的个人曝光情况的更具体衡量标准。该数字占总客户群的很大比例,并提供了对独特个人的影响的更准确的规模。下面提供了关键日期的摘要。
安联人寿数据泄露时间表
安联人寿数据泄露时间表
安全事件和响应的全面概述
| 日期 | 事件 |
|---|---|
| 2025 年 7 月 16 日 | 威胁参与者未经授权即可访问第三方 CRM 系统。 |
| 2025 年 7 月 17 日 | 安联人寿发现了这一漏洞。 |
| 2025 年 7 月 26 日 | 安联人寿向包括哥伦比亚广播公司新闻在内的媒体证实了这一违规行为。 |
| 2025 年 7 月 28 日 | Have I Been Pwned (HIBP) 报告称,有 110 万个帐户受到影响。 |
| 2025 年 8 月 1 日 | 安联人寿开始通知受影响的个人。 |
| 2025 年 8 月 19 日 | SORadar 和 SecurityAffairs 发布了将此次攻击与 ShinyHunters 联系起来的详细文章。 |
结果
被盗数据包括广泛的个人身份信息 (PII),例如全名、社会安全号码 (SSN)、出生日期、邮寄和电子邮件地址、电话号码以及保险单信息。
这些数据的组合为网络犯罪分子创建了丰富的档案,使他们能够参与各种恶意活动。通过访问 SSN 和其他 PII,攻击者可以开设欺诈性信用额度、提交虚假纳税申报表或盗窃医疗身份。
暴露的信息还使个人极易遭受复杂的后续网络钓鱼和语音钓鱼(语音网络钓鱼)诈骗。例如,诈骗者可以使用一个人的真实姓名、地址和保险详细信息来制作令人信服的欺诈性通信,增加受害者上当受骗并提供财务详细信息或其他凭证的可能性。如此全面的数据集的暴露大大增加了所有受影响个人的长期财务欺诈和身份盗窃的风险。
安联人寿数据泄露的后果将远远超出立即的技术响应范围。该事件已引发至少一起集体诉讼,指控该公司未能满足既定的数据安全和隐私行业标准,例如 NIST 网络安全框架。
这一法律行动,加上潜在的监管审查和罚款,表明违规行为的真正财务成本是多方面的。它不仅包括调查和补救的成本,还包括巨额法律费用、和解费用、监管处罚以及因客户信任受损而导致的未来业务潜在损失。
网络攻击中的社会工程
安联人寿的袭击是“供应链妥协”,其中威胁行为者以第三方供应商为目标,以获取对客户数据的访问权限。入口点是 Allianz Life 使用的基于云的客户关系管理 (CRM) 系统,特别是 Salesforce 实例。
攻击者采用了复杂的社会工程技术,冒充 IT 服务台工作人员来操纵员工。这种心理操纵诱骗员工授予他们访问 Salesforce Data Loader 工具的权限,然后使用该工具提取敏感数据。
这些策略也与“分散蜘蛛“黑客集体,以冒充 IT 服务台从第三方供应商处获取凭据而闻名。这一趋势表明网络威胁形势发生了重大转变,攻击者越来越多地将人为因素和第三方依赖性作为实现大规模数据盗窃的主要手段。这种发展需要对安全态势进行根本性的重新评估,从基于边界的防御转向更全面的“零信任”模型。
经验教训
随着技术防御变得更加强大,攻击者越来越多地利用人类行为和心理漏洞来获取系统和数据的访问权限。
阅读更多:使用 WSUS 部署第三方软件更新
虽然安联人寿自己的内部系统没有遭到破坏,但第三方供应商系统的入侵所造成的灾难性后果表明了当今互联数字生态系统固有的深刻风险。仅关注保护公司内部网络安全的传统方法已不再足够。
此次违规行为的战略意义在于,第三方风险管理不仅是一项技术任务,而且是一项核心业务任务。对从 CRM 提供商到 IT 服务的庞大供应商生态系统的依赖,为威胁行为者创造了众多潜在的接入点。公司必须超越年度、清单驱动的尽职调查,并对其供应商的安全状况实施持续、实时的监控。这需要转变思维方式,将安全性融入到每个业务决策和供应商合同中,并对网络安全协议、违规通知和问责条款有明确的期望。
这一事件凸显了组织需要超越简单、敷衍的安全意识培训。教育必须持续不断并不断发展,以应对高度复杂、有针对性的心理操纵。向“零信任”模式的根本性转变至关重要,在这种模式下,默认情况下,任何用户或系统(无论是内部还是外部)都是不可信的。该框架要求每次登录、系统交互和供应商连接都经过仔细验证和监控,确保仅在绝对必要的时间和地点授予特权访问权限。
发生数据泄露时企业必须做什么
安联人寿泄露事件为企业如何准备和应对类似事件提供了有力的案例研究。
- 实施快速、透明的响应计划:正如安联人寿所证明的那样,快速、透明的响应对于遏制损害和维持客户信任至关重要。组织应该有一个可以立即部署的预定义遏制、调查和通知计划。
- 加强供应链安全:加强您的第三方风险管理计划。这需要的不仅仅是年度审查。它涉及持续审查和监控供应商,在合同中建立明确的网络安全期望,并对供应商访问实施严格控制。
- 采用“零信任”模式:假设没有用户或系统可以被隐式信任。实施及时 (JIT) 权限提升和防网络钓鱼 MFA 等控制措施来验证每次交互。
- 投资以人为本的安全:这次攻击的成功源于人为操纵。优先考虑持续、复杂的安全意识培训,使员工和供应商能够识别和报告社会工程攻击。
- 准备全面的恢复计划:多层防御策略至关重要。这应包括制定可靠的勒索软件恢复计划和强大的数据备份协议,以确保发生攻击时的业务连续性。全面的方法包括提供勒索软件恢复等专业服务的值得信赖的合作伙伴,以确保可以有效地恢复关键数据。
消费者和个人如何保护他们的数据
对于个人信息在数据泄露中受到损害的个人来说,立即采取行动对于减轻潜在伤害至关重要。安联人寿事件提供了一个明确的基本步骤路线图。
- 关注官方通知并激活免费保护:对来自安联人寿的直接通信保持警惕,但对潜在的后续网络钓鱼尝试保持警惕。利用公司通过 Kroll 提供的 24 个月免费身份盗窃保护和信用监控。
- 保护您的帐户:立即更改所有重要在线帐户的密码,特别是与金融机构、保险和电子邮件相关的帐户。利用密码管理器为每个帐户创建并安全地存储唯一的强密码。
- 启用多重身份验证 (MFA):如果可用,请在所有帐户上启用 MFA,作为额外的安全层。这需要第二种形式的验证,例如发送到手机的代码,即使密码被盗,也使得未经授权的访问变得更加困难。
- 发出欺诈警报或信用冻结:联系三大信用机构之一(Experian、TransUnion 或 Equifax)以发出欺诈警报,或者采取更强有力的措施,对您的信用档案进行安全冻结。此操作可防止犯罪分子以您的名义开设新帐户。
- 警惕:定期监控您的银行和信用卡对账单,并检查您的信用报告是否有任何可疑或未经授权的活动。
