- フォンアンドロイド.com
- ニュース
- 健康保険: 欠陥により保険契約者の個人メールへのアクセスが可能になった
健康保険: 欠陥により保険契約者の個人メールへのアクセスが可能になった
健康保険の Web サイト Ameli.fr は、恥ずかしいセキュリティ侵害の被害に遭いました。この侵害のおかげで、保険契約者は URL 内の数字を変更するだけで、他の保険契約者の個人メッセージにアクセスできるようになりました。これらのメッセージには、名前、名、住所、さらには社会保障番号など、多くの個人データが含まれています。欠陥は「すぐに修正されました」。
2019 年 12 月 19 日木曜日、国民健康保険基金 (CPAM) のオンライン ポータルである Ameli.fr で重大なセキュリティ侵害が発見されました。いずれにせよ、これは専門サイト NextInpact の同僚が、情報通の読者から警告を受けた私たちに明らかにしたものです。この侵害により、URL 内の数字を変更するだけで、保険契約者が他の保険契約者の個人メッセージにアクセスできるようになる可能性があります。
保険契約者向けのメッセージが、Ameli.fr サイトの個人スペースに PDF 形式で保存されていることが判明しました。実際、URL 内の数値を変更することで、ランダムな保険契約者からの一致を見つけることが可能でした。ただし、これらのメッセージには、名前、名、電子メールと自宅の住所、社会保障番号、さまざまな情報要求、サポート、ケアの拒否など、大量の個人データが含まれています。
こちらもお読みください:Vitale Card が 2021 年からスマートフォンに登場
「セキュリティは万全です」
セロン・ネクストインパクト、”特定の個人をターゲットにすることはできませんでした」。ジャーナリストたちは依然としてこの抜け穴を利用しようとし、実際に URL の数字を変更するだけで他の保険契約者の個人メッセージを入手することができました。 「この特定された異常は直ちに修正され、Ameli アカウントのメールのセキュリティは完全に確保されました。」アメリはルモンド新聞の同僚たちに正しく断言した。
CPAM オンライン ポータルによると、NextInpact のジャーナリストとその情報に詳しい読者以外には誰もこの欠陥を悪用しなかったでしょう。セルフサービスで利用できるデータの機密性を考慮すると、この状況はすぐに爆発的になる可能性があります。ただし、Ameli.fr は次のように述べています。これらの文書に含まれる情報の管理上の性質により、プライマリーファンドから保険契約者に送られる手紙には個人の医療情報が含まれておらず、その影響は非常に限られていた。」
Ameli.fr サイト、あるいはより広範には CPAM がコンピューターの問題やサイバー攻撃の被害を受けるのはこれが初めてではありません。 2018年6月に、健康保険からの偽メールによる大規模なフィッシングキャンペーンにより、組織は対応し、すべての保険契約者に危険性を警告する必要があった。海賊たちは数百ユーロの賠償を約束した。
ソース :次へインパクト
