Le fournisseur d’assurance américain AssuranceAmerica a confirmé une violation de données affectant les informations personnelles et les numéros de permis de conduire de 6,9 millions de personnes, ce qui en fait la plus grande fuite connue d’informations sur les permis de conduire américains cette année.
Fondée en 1998, AssuranceAmerica propose une assurance automobile et de location à des clients dans plus d’une douzaine d’États américains. En tant que grand fournisseur d’assurance, la société gère de grandes quantités d’informations sur les clients potentiels de l’assurance et les conducteurs de véhicules, y compris leurs informations personnelles et les détails de leur permis de conduire délivré par l’État. Entre les mains d’une personne malveillante, un numéro de permis de conduire peut être utilisé à des fins de fraude et d’usurpation d’identité.
Dans un avis de violation de données envoyé aux clients et vu par TechCrunch, AssuranceAmerica a déclaré avoir découvert des pirates informatiques dans ses systèmes informatiques le 17 mars. La société a conclu son enquête le 15 juin, constatant que les pirates avaient volé les noms, les coordonnées et les numéros de permis de conduire des clients.
L’avis de violation indique que les pirates ont également pris des informations sur les polices et les comptes d’assurance automobile des clients, leurs conducteurs et leurs véhicules, ainsi que des détails sur les réclamations des clients.
La société n’a pas fourni de détails sur les autres types d’informations personnelles collectées.
AssuranceAmerica n’a pas précisé la cause précise de la violation, mais a noté que les pirates « ont ciblé l’un des employés de la société » et que la société a ensuite « désactivé les informations d’identification compromises ». On ne sait pas exactement comment ces informations d’identification ont été volées, mais des incidents antérieurs impliquant le vol d’informations d’identification d’employés ont été liés à des logiciels malveillants volant des mots de passe ou à l’utilisation de logiciels compromis.
TechCrunch a envoyé par courrier électronique des questions sur l’incident au PDG d’AssuranceAmerica, Joe Skruck, et au fondateur Guy Millner, leur demandant notamment si l’entreprise avait eu des contacts avec les pirates informatiques ou avait payé une rançon. Aucun des deux n’a répondu.
Selon une liste de violations de données établie par le bureau du procureur général de l’Indiana, AssuranceAmerica a répertorié la violation comme affectant 6,99 millions de personnes, et des lettres de notification devraient être envoyées le 10 juillet.
Une copie distincte de la notification de violation de données d’AssuranceAmerica, partagée par le bureau du procureur général du Maine à la demande de TechCrunch, indique également le nombre de personnes concernées à 6,99 millions. (Le portail des violations de données du Maine est actuellement hors ligne et en cours de révision après la publication d’une divulgation de violation frauduleuse sur son site Web le mois dernier.)
L’incident chez AssuranceAmerica fait suite à une série de violations de données affectant les permis de conduire et autres documents d’identité au cours des derniers mois. En juin, le gouvernement de l’État du Texas a déclaré que des pirates informatiques avaient volé des informations sur au moins 3 millions de numéros de permis de conduire et de passeports lors d’une violation de données affectant la division des parcs et de la faune de l’État.
TechCrunch a déjà signalé plusieurs failles de sécurité qui ont entraîné la perte de millions de documents d’identité délivrés par le gouvernement, notamment des incidents liés à un système d’enregistrement à l’hôtel, une application de transfert d’argent, un fournisseur de téléphones publics dans une prison et un service de visa britannique. Ces fuites de données surviennent alors que les sites Web et les applications exigent de plus en plus que les internautes remettent leurs documents d’identité pour prouver qu’ils sont légalement assez âgés pour y accéder, dans un contexte de pression mondiale des gouvernements pour mettre en œuvre des lois sur la vérification de l’âge.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.

