關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.27
訊息與報導/資料外洩
安聯人壽確認資料外洩 — 逾百萬客戶個資受影響,第三方CRM系統成破口

引言

在數位時代,數據已成為企業最寶貴的資產之一,而客戶個人資料的安全性更是金融與保險業的生命線。然而,即便有嚴密的資安防護措施,企業仍可能因供應鏈或第三方系統的漏洞而面臨嚴峻挑戰。近日,安聯人壽北美公司(Allianz Life Insurance Company of North America)證實發生了一起大規模資料外洩事件,影響了其140萬客戶中的絕大多數。這起發生於2025年7月16日的事件,再次凸顯了第三方雲端服務在企業資安生態系統中扮演的關鍵角色,及其所帶來的潛在風險。本報告將深入剖析此次安聯人壽資料外洩事件的細節、受影響範圍、公司應對措施,以及這類以社會工程學攻擊第三方供應商的趨勢所帶來的啟示。


事件概述:社會工程學攻破第三方CRM系統

根據報導,安聯人壽的資料外洩事件發生在2025年7月16日。當時,一名惡意威脅行為者透過社會工程學(social engineering)手法,成功入侵了安聯人壽所使用的第三方雲端客戶關係管理(CRM)系統。這表明攻擊者並非直接突破安聯人壽內部的核心網路或保單管理系統,而是利用了其外部合作夥伴的弱點作為切入點。社會工程學攻擊通常透過誘騙員工洩露憑證、點擊惡意連結或下載惡意檔案等方式進行,其成功率往往高於直接的技術性入侵。這也說明了即便是擁有強大資安預算的金融巨頭,也難以完全免疫於人為因素所帶來的風險。
此次事件的關鍵點在於,受害的並非安聯人壽自身的主要營運系統,而是其雲端CRM供應商的平台。這強調了現代企業複雜的數位供應鏈中,任何一個環節的薄弱都可能成為整個系統的致命弱點。企業在選擇第三方服務時,其資安審查的深度和持續性,將直接影響自身的風險暴露程度。


受影響範圍與資料類型

安聯人壽已證實,這次資料外洩事件導致「絕大多數」的客戶個人識別資料(personally identifiable data, PII)被獲取。這是一個令人擔憂的範圍,因為安聯人壽在北美擁有約140萬客戶,這意味著可能有超過百萬客戶的敏感資訊遭到外洩。除了客戶,部分金融專業人士和員工的個人資料也受到了影響。
儘管報導中未具體列出被盜取的資料類型,但CRM系統通常儲存著大量的客戶詳細資訊,可能包括但不限於:
  1. 姓名、地址、電話號碼、電子郵件地址等聯絡資訊。
  2. 保單號碼、帳戶資訊、交易歷史等保險或金融產品相關數據。
  3. 出生日期、社會安全號碼(或等效識別碼)等敏感個人資訊。
  4. 以及與客戶互動相關的筆記和通訊記錄。
這些資料一旦落入不法分子之手,可能被用於身份盜竊、金融詐騙、釣魚攻擊(phishing attacks)或其他惡意活動,對受影響的個人造成嚴重的財產和隱私損害。


安聯人壽的應對措施與調查進展

安聯人壽在事件發生後採取了以下措施:
  1. 立即行動: 公司在發現事件後立即採取了行動,這通常包括隔離受影響的系統、啟動內部調查程序以釐清入侵的範圍和方式。
  2. 通知執法部門: 安聯人壽已將此事件通知美國聯邦調查局(FBI),尋求專業協助,並共同展開調查。這有助於追蹤犯罪行為者,並可能在未來採取法律行動。
  3. 確認內部網路未受影響: 公司聲明,沒有證據表明其內部的網路或保單管理系統遭到入侵。這點對於安聯人壽的業務持續性至關重要,也可能在一定程度上限制了攻擊的深度,使其未能直接觸及核心客戶數據庫。然而,第三方系統的資料被竊取,本身就是一個嚴重的問題。
  4. 通知受影響個人: 安聯人壽已開始按照相關法律和監管要求,向受影響的個人發出通知。這些通知通常會告知客戶資料外洩的事實、被竊取的資料類型、公司已採取的措施,以及建議客戶應採取的防範措施(例如監控信用報告、變更密碼等)。
儘管安聯人壽拒絕證實,但BleepingComputer基於其資安情報和過往案例,推測此次攻擊可能與知名的勒索與資料外洩集團 ShinyHunters 有關。該集團以其高調的資料外洩事件聞名,並經常利用社會工程學手法針對CRM系統客戶,這與Mandiant近期關於Salesforce CRM攻擊的警告相符。如果此推測屬實,那麼這些被竊取的數據很可能在暗網上被出售,或被用於進一步的詐騙活動。


第三方供應鏈風險管理的重要性

安聯人壽的案例再次敲響了警鐘,提醒所有企業,特別是金融和保險行業,必須高度重視第三方供應鏈的資安風險。即使自身擁有健全的資安防護,但只要其合作夥伴存在弱點,就可能成為攻擊者的突破口。
為此,企業應採取以下措施:
  1. 嚴格的第三方供應商審查: 在簽訂合約前,對第三方服務供應商進行全面的資安審查,評估其安全控制措施、合規性標準和事件應變能力。
  2. 持續的供應商監控: 簽約後,應對第三方供應商的資安狀況進行持續監控和審計,確保其安全措施始終符合要求。
  3. 明確的合約責任: 在合約中明確規定第三方供應商的資安責任、資料保護義務、事件通報流程以及違約懲罰機制。
  4. 最小權限原則: 確保第三方供應商僅能存取其履行服務所必需的最小範圍數據和系統權限。
  5. 定期的安全演練: 與第三方供應商共同進行資安演練,測試雙方在發生安全事件時的協同應變能力。


結論

安聯人壽的大規模客戶資料外洩事件,是當前網路威脅環境的一個縮影:攻擊者正將目光投向供應鏈中的弱點,透過社會工程學等手法突破企業的防線。此次事件對數百萬客戶的個人隱私和財產安全構成了潛在威脅,也對安聯人壽的聲譽造成了影響。
對於台灣應用軟件領域的開發者和企業而言,此事件提供了寶貴的教訓。在開發和部署應用程式時,若需整合第三方服務或雲端平台,務必將其資安風險納入全面的評估與管理範疇。這不僅涉及技術層面的防禦,更包括供應商選擇、合約管理和應急響應等各方面。只有建立起從內部到外部、從技術到管理的全面資安韌性,才能在日益嚴峻的網路威脅環境中保護企業的數位資產和客戶的信任。
 
資料來源:https://www.bleepingcomputer.com/news/security/allianz-life-confirms-data-breach-impacts-majority-of-14-million-customers/