Une faille de sécurité dans la startup de technologie d’assurance BackNine a exposé des centaines de milliers d’applications d’assurance après qu’un de ses serveurs cloud ait été laissé sans protection sur Internet.

BackNine est peut-être une entreprise que vous ne connaissez pas, mais elle a peut-être traité vos informations personnelles si vous avez fait une demande d’assurance au cours des dernières années. La société californienne crée un logiciel de back-office pour aider les plus grandes compagnies d’assurance à vendre et à maintenir des polices d’assurance vie et invalidité. Il propose également un formulaire Web de devis en marque blanche pour les planificateurs financiers plus petits ou indépendants qui vendent des régimes d’assurance via leurs propres sites Web.

Mais l’un des serveurs de stockage de l’entreprise, hébergé sur le cloud d’Amazon, était mal configuré pour permettre à quiconque d’accéder aux 711 000 fichiers à l’intérieur, y compris les demandes d’assurance remplies contenant des informations personnelles et médicales très sensibles sur le demandeur et sa famille. Il contenait également des images de signatures individuelles ainsi que d’autres fichiers internes de BackNine.

Parmi les documents examinés, TechCrunch a trouvé des informations de contact, comme les noms complets, les adresses et les numéros de téléphone, mais aussi les numéros de sécurité sociale, les diagnostics médicaux, les médicaments pris et les questionnaires détaillés remplis sur la santé d’un demandeur, passée et présente. D’autres fichiers comprenaient des résultats de laboratoire et de tests, tels que des analyses de sang et des électrocardiogrammes. Certaines applications contenaient également des numéros de permis de conduire.

Les documents exposés remontent à 2015, et pas plus tard que ce mois-ci.

Étant donné que les serveurs de stockage Amazon, appelés compartiments, sont privés par défaut, une personne ayant le contrôle des compartiments doit avoir modifié ses autorisations en public. Aucune des données n’a été cryptée.

Le chercheur en sécurité Bob Diachenko a trouvé le compartiment de stockage exposé et a envoyé par e-mail les détails de la défaillance à l’entreprise début juin, mais après avoir reçu une première réponse, il n’a pas eu de réponse et le seau est resté ouvert.

Nous avons contacté le vice-président de BackNine, Reid Tattersall, avec qui…