Генеральный прокурор Джеймс получил более 20 миллионов долларов от 10 компаний автострахования за нарушения безопасности данных, затронувшие около миллиона жителей Нью-Йорка. Генеральный прокурор Джеймс призывает компании следовать рекомендациям OAG по защите персональных данных потребителей.
– Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня добилась выплаты 14,2 миллиона долларов от восьми автостраховых компаний за неспособность защитить личные данные более 825 000 жителей Нью-Йорка. Утечки данных были частью хакерской кампании, направленной на инструменты расчета стоимости услуг автостраховых компаний и кражу личных данных людей, включая номера водительских удостоверений и даты рождения. Впоследствии хакеры использовали часть украденных данных водительских удостоверений для подачи мошеннических заявлений на пособие по безработице в разгар пандемии COVID-19.

Расследование, проведенное Управлением генерального прокурора (OAG) и Департаментом финансовых услуг штата Нью-Йорк (DFS), пришло к выводу, что компании автострахования не внедрили разумные механизмы безопасности данных для защиты личной информации потребителей. Сегодняшние соглашения требуют, чтобы все восемь компаний выплатили штрафы и значительно улучшили безопасность своих данных. Пострадавшим жителям Нью-Йорка был предложен бесплатный мониторинг кредитной истории в течение одного года. Генеральный прокурор Джеймс ранее добился выплаты 6,5 млн долларов от четырех других компаний автострахования за то, что они также не защитили данные жителей Нью-Йорка. На сегодняшний день генеральный прокурор Джеймс добилась выплаты в общей сложности 20,79 млн долларов от 10 компаний автострахования. Генеральный прокурор Джеймс призывает компании следовать  рекомендациям ее офиса по защите личных данных потребителей .

«Жители Нью-Йорка ежемесячно платят сотни долларов за автострахование. Когда они ищут более дешёвый вариант, им не стоит беспокоиться о краже личной информации», — заявила  генеральный прокурор Джеймс . «У этих восьми автостраховых компаний была слабая система кибербезопасности, что позволило хакерам легко похитить личную информацию жителей Нью-Йорка и использовать её в мошеннических целях. Я благодарю Министерство финансовых услуг и Министерство труда за партнёрство и постоянную работу по привлечению компаний к ответственности за неспособность защитить потребителей».
В сегодняшних урегулированиях участвуют следующие компании по страхованию автомобилей:  American Family Mutual Insurance Company/Midvale Indemnity Company ,  Farmers Insurance ,  Hagerty Insurance Agency ,  The Hartford Insurance Group ,  Infinity Insurance Company ,  Liberty Mutual Insurance ,  Metromile и  State Auto Mutual Insurance Company .

Эти компании  позволяли клиентам получать расценки на автострахование с помощью онлайн-инструмента. Некоторые из них также предоставляли страховым агентам защищённые паролем инструменты для формирования расценок для клиентов.
Расследование OAG показало, что похитители данных смогли воспользоваться функцией «предварительного заполнения» в онлайн-инструментах котировок компаний. После того, как ограниченная личная информация о человеке была введена через онлайн-инструмент котировок, компания «предварительно заполняла» форму личной информацией, купленной у брокеров данных. Целью «предварительного заполнения» было вставить информацию, которой у пользователя могло не быть под рукой, и упростить заполнение формы. Например, при вводе ограниченной информации в инструмент, такой как полное имя человека и дата рождения, другие поля в инструменте были предварительно заполнены, такие как номера водительских прав человека и аналогичная информация о других водителях в его семье.
OAG обнаружило, что компании по страхованию автомобилей не предприняли разумных мер для защиты предварительно заполненной личной информации. Атаки на эти восемь компаний раскрыли личную информацию более 825 000 жителей Нью-Йорка. Некоторые из раскрытых данных позже были использованы для подачи заявлений на пособие по безработице во время пандемии COVID-19.
Расследование OAG показало, что несколько компаний подверглись нескольким атакам, не имели единых инструментов безопасности для предотвращения и обнаружения атак и/или не использовали многофакторную аутентификацию для защиты учётных данных агентов. Основные выводы расследования включают:

Компания Farmers Insurance столкнулась с тремя различными атаками, в результате которых была раскрыта личная информация примерно 45 000 жителей Нью-Йорка. После первой атаки Farmers не обнаружила подобных уязвимостей в других инструментах, которые также были эксплуатированы.
Компании American Family Mutual Insurance Company и Midvale Indemnity Company по отдельности раскрыли конфиденциальную информацию примерно 100 000 жителей Нью-Йорка. Большинство этих данных были раскрыты по ошибке после перехода с одной системы безопасности на другую. Компании не создали полный реестр защищённых данных до перехода и не провели надлежащего тестирования атакованных инструментов после него.
Компания State Auto Mutual Insurance Company раскрыла личные данные более 100 000 жителей Нью-Йорка. Инструменты расчета котировок State Auto не были защищены стандартными средствами безопасности, которые отслеживают и выявляют подозрительные закономерности, такие как чрезмерное количество запросов от одного и того же пользователя или несколько запросов от одного и того же пользователя с разных IP-адресов.
Metromile раскрыла конфиденциальную информацию около 90 000 жителей Нью-Йорка в ходе одной атаки, которая не была обнаружена в течение двух месяцев. Metromile не использовала распространённые инструменты безопасности для предотвращения и обнаружения атак.
Страховая компания Liberty Mutual Insurance подверглась атакам на три различных инструмента для сбора потребительских котировок, в результате чего были раскрыты данные примерно 50 000 жителей Нью-Йорка. Атакованные инструменты не прошли оценку конфиденциальности и не были защищены стандартными средствами безопасности.
Страховая группа Hartford Insurance Group подверглась двум атакам, затронувшим около 30 000 клиентов в Нью-Йорке. Несмотря на то, что компания Hartford придерживалась политики информационной безопасности для защиты данных клиентов, эти политики были реализованы неэффективно.
Страховое агентство Hagerty столкнулось с двумя атаками, в результате которых были раскрыты личные данные примерно 66 000 жителей Нью-Йорка. Хотя Hagerty обнаружила необычную активность на своем сайте для сбора потребительских котировок, компания не сразу идентифицировала её как атаку на раскрытые личные данные.

Страховая компания Infinity подверглась трём атакам. Злоумышленники получили доступ к личной информации около 65 000 жителей Нью-Йорка через сервис потребительского цитирования и к информации около 180 000 жителей Нью-Йорка через два защищённых паролем сервиса для цитирования агентов. На момент атак Infinity не использовала многофакторную аутентификацию для защиты своих учётных данных в сервисах для агентов.
Сегодняшние соглашения обязывают эти компании значительно усилить безопасность своих данных и выплатить штрафы в следующих размерах:
American Family Mutual Insurance Company/Midvale Indemnity Company выплатит 2,8 миллиона долларов;
Farmers Insurance выплатит 1,3 миллиона долларов;
Страховое агентство Hagerty выплатит 1,3 миллиона долларов;
Страховая компания Infinity выплатит 2 миллиона долларов;
Hartford Insurance Group выплатит 815 000 долларов;
Liberty Mutual Insurance выплатит 2 миллиона долларов;
Metromile заплатит 2 миллиона долларов; и
Государственное автострахование выплатит 2 миллиона долларов.
Помимо штрафов, компании обязаны принять ряд мер по усилению своей практики кибербезопасности, включая:

Поддержание комплексной программы информационной безопасности, направленной на защиту безопасности, конфиденциальности и целостности личной информации;
Разработка и ведение реестра персональных данных и обеспечение защиты информации;
Поддержание разумных процедур аутентификации для доступа к личной информации;
Поддержание системы регистрации и мониторинга, а также разумных политик и процедур, предназначенных для правильной настройки систем для оповещения о подозрительной активности; а также
Улучшение процедур реагирования на угрозы.  
Сегодняшние урегулирования являются последними усилиями Генерального прокурора Джеймса по привлечению компаний к ответственности за ненадлежащую кибербезопасность. В марте 2025 года Генеральный прокурор Джеймс  подал в суд на Allstate Insurance за неспособность защитить информацию жителей Нью-Йорка , что привело к раскрытию информации более 165 000 жителей Нью-Йорка. В ноябре 2024 года Генеральный прокурор Джеймс и руководитель Департамента финансовых услуг Адриенна Харрис  добились выплаты $11,3 млн от GEICO и Travelers за ненадлежащую защиту данных . В октябре 2024 года Генеральный прокурор Джеймс  добился выплаты $2,25 млн от поставщика медицинских услуг из столичного региона  за неспособность защитить личную информацию и медицинские данные жителей Нью-Йорка. В июле 2024 года Генеральный прокурор Джеймс выпустил два руководства по конфиденциальности: «  Руководство для бизнеса по контролю конфиденциальности веб-сайтов»  и  «Руководство для потребителей по отслеживанию в Интернете»,  чтобы помочь компаниям и потребителям защищать свои данные в Интернете.
Этим делом руководили помощники генерального прокурора Джена Фейст и Лора Мамм, а также бывшие помощники генерального прокурора Ханна Бэк и Эзра Стернштейн, аналитик по безопасности данных Нишаант Госвами и бывший аналитик Интернета и технологий Джо Грэм под руководством заместителя начальника бюро Кларка Рассела и начальника бюро Ким Бергер из Бюро Интернета и технологий. Анализ данных был предоставлен аналитиком данных Кейси Мареско и специалистом по данным Блайт Дэвис под руководством заместителя директора Гаутама Сисодия, директора Виктории Хан, бывшего заместителя директора Меган Торсфельдт и бывшего директора Джонатана Верберга из Департамента исследований и аналитики. Бюро Интернета и технологий является частью Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д’Анджело и курируется первым заместителем генерального прокурора Дженнифер Леви.
Летиция Джеймс
Генеральный прокурор штата Нью-Йорк
14 октября 2025 г.
НЬЮ-ЙОРК