安聯人壽數據洩露：第三方網絡風險案例研究

Jacki

2025-09-02

一個精緻的社會工程攻擊針對的是第三方 CRM 系統，而不是 Allianz 的內部網絡。
被盜數據包括各種個人身份信息 (PII)，例如姓名和社會安全號碼。
安聯人壽通知了聯邦調查局，並向受影響的人提供免費的信用監控。
該事件凸顯了公司迫切需要採取零信任安全模型並優先考慮持續、複雜的安全意識培訓。

‍

2025 年 7 月 16 日，一名惡意威脅行為者被認為是臭名昭著的閃亮獵人集團對北美安聯人壽保險公司實施了數據洩露。此次洩露源於一個複雜的社會工程操縱員工授予未經授權的訪問權限的活動第三方、基於雲客戶關係管理（CRM）系統。

這種方法允許攻擊者使用 Salesforce Data Loader 工具竊取該公司 140 萬美國客戶中大多數的敏感個人數據，以及來自財務專業人士和精選員工的信息。

該事件於 2025 年 7 月 17 日發現，並沒有直接損害安聯人壽的內部網絡，而是突顯了組織數字供應鏈中存在的關鍵漏洞以及持久存在的漏洞。現代網絡攻擊中的人為因素。

該公司的回應是啟動遏制措施，通知聯邦調查局，並向受影響的個人提供信用監控和身份盜竊保護。

安聯人壽違規概述

安聯人壽數據洩露是一次迅速而有針對性的行動，發生時間很短。當威脅行為者成功獲得對第三方系統的未經授權的訪問時，攻擊就開始了。安聯人壽一發現違規行為，就立即採取措施遏制和緩解這一事件。

該公司的迅速反應包括通知聯邦調查局並向緬因州總檢察長辦公室提交數據洩露通知。消費者通知已於 2025 年 8 月 1 日發出，其中提供免費的身份盜竊保護和信用監控服務。

受該漏洞影響的具體人數有不同的報告，這在大規模網絡事件中很常見。安聯人壽證實，除了金融專業人士和一些員工外，此次違規行為還影響了其 140 萬美國客戶中的“大多數”。安全研究人員來自我被騙了嗎（HIBP）後來報導稱，該事件導致 110 萬個唯一電子郵件地址被曝光，這是對已確認的個人曝光情況的更具體衡量標準。該數字佔總客戶群的很大比例，並提供了對獨特個人的影響的更準確的規模。下面提供了關鍵日期的摘要。

安聯人壽數據洩露時間表

安全事件和響應的全面概述

日期	事件
2025 年 7 月 16 日	威脅參與者未經授權即可訪問第三方 CRM 系統。
2025 年 7 月 17 日	安聯人壽發現了這一漏洞。
2025 年 7 月 26 日	安聯人壽向包括哥倫比亞廣播公司新聞在內的媒體證實了這一違規行為。
2025 年 7 月 28 日	Have I Been Pwned (HIBP) 報告稱，有 110 萬個帳戶受到影響。
2025 年 8 月 1 日	安聯人壽開始通知受影響的個人。
2025 年 8 月 19 日	SORadar 和 SecurityAffairs 發布了將此次攻擊與 ShinyHunters 聯繫起來的詳細文章。

結果

被盜數據包括廣泛的個人身份信息 (PII)，例如全名、社會安全號碼 (SSN)、出生日期、郵寄和電子郵件地址、電話號碼以及保險單信息。

這些數據的組合為網絡犯罪分子創建了豐富的檔案，使他們能夠參與各種惡意活動。通過訪問 SSN 和其他 PII，攻擊者可以開設欺詐性信用額度、提交虛假納稅申報表或盜竊醫療身份。

暴露的信息還使個人極易遭受複雜的後續網絡釣魚和語音釣魚（語音網絡釣魚）詐騙。例如，詐騙者可以使用一個人的真實姓名、地址和保險詳細信息來製作令人信服的欺詐性通信，增加受害者上當受騙並提供財務詳細信息或其他憑證的可能性。如此全面的數據集的暴露大大增加了所有受影響個人的長期財務欺詐和身份盜竊的風險。

安聯人壽數據洩露的後果將遠遠超出立即的技術響應範圍。該事件已引發至少一起集體訴訟，指控該公司未能滿足既定的數據安全和隱私行業標準，例如 NIST 網絡安全框架。

這一法律行動，加上潛在的監管審查和罰款，表明違規行為的真正財務成本是多方面的。它不僅包括調查和補救的成本，還包括巨額法律費用、和解費用、監管處罰以及因客戶信任受損而導致的未來業務潛在損失。

網絡攻擊中的社會工程

安聯人壽的襲擊是“供應鏈妥協”，其中威脅行為者以第三方供應商為目標，以獲取對客戶數據的訪問權限。入口點是 Allianz Life 使用的基於雲的客戶關係管理 (CRM) 系統，特別是 Salesforce 實例。

攻擊者採用了複雜的社會工程技術，冒充 IT 服務台工作人員來操縱員工。這種心理操縱誘騙員工授予他們訪問 Salesforce Data Loader 工具的權限，然後使用該工具提取敏感數據。

這些策略也與“分散蜘蛛“黑客集體，以冒充 IT 服務台從第三方供應商處獲取憑據而聞名。這一趨勢表明網絡威脅形勢發生了重大轉變，攻擊者越來越多地將人為因素和第三方依賴性作為實現大規模數據盜竊的主要手段。這種發展需要對安全態勢進行根本性的重新評估，從基於邊界的防禦轉向更全面的“零信任”模型。

經驗教訓

隨著技術防禦變得更加強大，攻擊者越來越多地利用人類行為和心理漏洞來獲取系統和數據的訪問權限。

閱讀更多：使用 WSUS 部署第三方軟件更新

雖然安聯人壽自己的內部系統沒有遭到破壞，但第三方供應商系統的入侵所造成的災難性後果表明了當今互聯數字生態系統固有的深刻風險。僅關注保護公司內部網絡安全的傳統方法已不再足夠。

此次違規行為的戰略意義在於，第三方風險管理不僅是一項技術任務，而且是一項核心業務任務。對從 CRM 提供商到 IT 服務的龐大供應商生態系統的依賴，為威脅行為者創造了眾多潛在的接入點。公司必須超越年度、清單驅動的盡職調查，並對其供應商的安全狀況實施持續、實時的監控。這需要轉變思維方式，將安全性融入到每個業務決策和供應商合同中，並對網絡安全協議、違規通知和問責條款有明確的期望。

這一事件凸顯了組織需要超越簡單、敷衍的安全意識培訓。教育必須持續不斷並不斷發展，以應對高度複雜、有針對性的心理操縱。向“零信任”模式的根本性轉變至關重要，在這種模式下，默認情況下，任何用戶或系統（無論是內部還是外部）都是不可信的。該框架要求每次登錄、系統交互和供應商連接都經過仔細驗證和監控，確保僅在絕對必要的時間和地點授予特權訪問權限。

發生數據洩露時企業必須做什麼

安聯人壽洩露事件為企業如何準備和應對類似事件提供了有力的案例研究。

實施快速、透明的響應計劃：正如安聯人壽所證明的那樣，快速、透明的響應對於遏制損害和維持客戶信任至關重要。組織應該有一個可以立即部署的預定義遏制、調查和通知計劃。
加強供應鏈安全：加強您的第三方風險管理計劃。這需要的不僅僅是年度審查。它涉及持續審查和監控供應商，在合同中建立明確的網絡安全期望，並對供應商訪問實施嚴格控制。
採用“零信任”模式：假設沒有用戶或系統可以被隱式信任。實施及時 (JIT) 權限提升和防網絡釣魚 MFA 等控制措施來驗證每次交互。
投資以人為本的安全：這次攻擊的成功源於人為操縱。優先考慮持續、複雜的安全意識培訓，使員工和供應商能夠識別和報告社會工程攻擊。
準備全面的恢復計劃：多層防禦策略至關重要。這應包括制定可靠的勒索軟件恢復計劃和強大的數據備份協議，以確保發生攻擊時的業務連續性。全面的方法包括提供勒索軟件恢復等專業服務的值得信賴的合作夥伴，以確保可以有效地恢復關鍵數據。

消費者和個人如何保護他們的數據

對於個人信息在數據洩露中受到損害的個人來說，立即採取行動對於減輕潛在傷害至關重要。安聯人壽事件提供了一個明確的基本步驟路線圖。

關注官方通知並激活免費保護：對來自安聯人壽的直接通信保持警惕，但對潛在的後續網絡釣魚嘗試保持警惕。利用公司通過 Kroll 提供的 24 個月免費身份盜竊保護和信用監控。
保護您的帳戶：立即更改所有重要在線帳戶的密碼，特別是與金融機構、保險和電子郵件相關的帳戶。利用密碼管理器為每個帳戶創建並安全地存儲唯一的強密碼。
啟用多重身份驗證 (MFA)：如果可用，請在所有帳戶上啟用 MFA，作為額外的安全層。這需要第二種形式的驗證，例如發送到手機的代碼，即使密碼被盜，也使得未經授權的訪問變得更加困難。
發出欺詐警報或信用凍結：聯繫三大信用機構之一（Experian、TransUnion 或 Equifax）以發出欺詐警報，或者採取更強有力的措施，對您的信用檔案進行安全凍結。此操作可防止犯罪分子以您的名義開設新帳戶。
警惕：定期監控您的銀行和信用卡對賬單，並檢查您的信用報告是否有任何可疑或未經授權的活動。