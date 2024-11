Twee Amerikaanse autoverzekeraars hebben van meer dan 220.000 mensen de rijbewijsnummers gelekt, doordat webapplicaties niet goed waren beveiligd en verdacht gedrag niet werd opgemerkt. Met de rijbewijsnummers werd vervolgens gefraudeerd. Het gaat om de Government Employees Insurance Company (GEICO) en The Travelers Indemnity Company (Travelers). De Amerikaanse staat New York heeft beide verzekeringsmaatschappijen wegens de datalekken een boete van in totaal 11,3 miljoen dollar opgelegd. Daarvan moet GEICO bijna tien miljoen dollar betalen.

Autoverzekeraars zoals GEICO en Travelers bieden websites waar particulieren en verzekeringsagenten offertes voor een verzekering kunnen aanvragen. Deze sites beschikken over een data "prefill" mogelijkheid. Wanneer een gebruiker persoonlijke data invoert, zoals naam, geboortedatum en/of adresgegevens, worden andere gegevens automatisch ingevuld. Het kan dan gaan om rijbewijsnummer of voertuigidentificatienummer. Hiervoor werken verzekeringsmaatschappijen samen met dataproviders.

De website van GEICO vroeg particulieren om naam, geboortedatum en adresgegevens. Niet alle gegevens hoefden echter correct te worden ingevoerd om de overige gegevens automatisch bij de datahandelaren op te vragen en op de website te tonen. Daarbij liet GEICO ook het volledige rijbewijsnummer van de betreffende gebruiker zien. De GEICO-site voor particulieren bevatte ook API's (application programming interfaces) die eigenlijk voor verzekeringsagenten bedoeld waren en waarmee de gegevens ook konden worden opgevraagd.

Op 15 november 2020 begonnen aanvallers misbruik van de offertetool te maken voor het opvragen van rijbewijsnummers. Op 29 december ontdekte GEICO een piek in het aantal offerteaanvragen dat niet werd afgemaakt. Twee weken later zag de verzekeraar een patroon waarbij de offerteaanvraag werd gestopt nadat het rijbewijsnummer was ingevoerd. Daarop werd besloten de rijbewijsnummers te maskeren. Tegelijkertijd ontdekte het bedrijf op internet dat aanvallers besproken hoe de offertetool misbruikt kon worden.

Aanvallers maakten in de tussentijd ook misbruik van de API's die eigenlijk alleen voor verzekeringsagenten waren bedoeld, maar via de website voor particulieren toegankelijk waren. Nadat GEICO de rijbewijsnummers had gemaskeerd nam het misbruik van de API's toe. Begin 2021 werd de verzekeraar gewaarschuwd dat criminelen actief rijbewijsnummers aan het opvragen waren. Misbruik van de API's werd echter niet opgemerkt. Dit gebeurde pas in maart 2021 toen het door een derde partij werd gewaarschuwd. In de tussentijd waren de rijbewijsnummers van meer dan 135.000 mensen gestolen.

In het geval van Travelers vond misbruik plaats via een portaal voor verzekeringsagenten. Die was alleen beveiligd met een gebruikersnaam en wachtwoord. In april 2021 wisten aanvaller na een credential stuffing-aanval toegang tot het portaal te krijgen en konden zo allerlei rijbewijsnummers opvragen. Een aantal keren daarvoor was Travelers door de overheid gewaarschuwd dat aanvallers het op verzekeringsportalen hadden voorzien.

Maandenlang wisten aanvallers via het portaal gegevens te stelen, totdat dit eind november werd aangepakt. Op dat moment waren de gegevens van meer dan 88.000 mensen buitgemaakt. De gestolen gegevens werden onder andere gebruikt voor het aanvragen van frauduleuze werkloosheidsuitkeringen. Naast het betalen van de boetes moeten beide verzekeraars ook allerlei beveiligingsmaatregelen doorvoeren.