Verzekeringsmaatschappij CNA heeft zeker tienduizenden klanten gewaarschuwd voor een datalek nadat het bedrijf in maart werd getroffen door een ransomware-aanval. Eerder stelden bronnen tegenover Bloomberg dat CNA veertig miljoen dollar losgeld heeft betaald.

De aanval vond plaats op 21 maart en zorgde ervoor dat CNA zonder website en e-mail kwam te zitten. Uit onderzoek bleek dat de aanvaller van 5 maart tot en met 21 maart toegang tot het netwerk had. Gedurende deze tijd wist de aanvaller "een beperkte hoeveelheid informatie" te stelen, waarna de ransomware werd uitgerold. Dat meldt CNA in een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine (pdf).

De verzekeringsmaatschappij wilde tegenover Bloomberg niet op het losgeld reageren en stelde dat het bij de afhandeling van het incident de wet en het ransomware-advies van het Amerikaanse ministerie van Financiën heeft gevolgd. Daarin wordt het betalen van losgeld echter niet verboden.

In de datalekmelding laat CNA weten dat het de gestolen informatie snel wist te "recoveren" en er geen aanwijzingen zijn dat de data is bekeken, bewaard of gedeeld. Nadat het de gestolen data weer terug had bleek dat het ook om persoonsgegevens van klanten gaat, waaronder hun naam en social-securitynummer.

Getroffen klanten kunnen twee jaar lang kosteloos van een identiteitsbeschermingsdienst gebruikmaken. Het aantal getroffen klanten is onbekend, maar alleen in de staat Maine gaat het om meer dan 75.000 mensen.

CNA is één van de grootste commerciële verzekeraars in de VS. Het is daarnaast ook op andere continenten actief en telt zo'n zesduizend medewerkers. Het bedrijf had vorig jaar een omzet van 2,9 miljard dollar