【大紀元2025年10月15日訊】（大紀元記者黃小堂紐約報導）紐約州金融服務廳（DFS）與州總檢察長辦公室（OAG）14日分別宣布，由於8家汽車保險公司資安管理不當，導致超過82.5萬名紐約州居民個資外洩的事件，這些公司合計付了超過3,300萬美元的罰款與和解金。

這些資安漏洞讓駭客得以入侵汽車保險公司用於報價的網頁系統，竊取包含駕照號碼、出生日期等敏感資料，部分資料甚至在新冠疫情期間遭用於冒領失業補助。

根據DFS廳長哈里斯（Adrienne Harris）辦公室公告，8家涉案的汽車保險公司分別為農民保險公司 （Farmers Insurance Exchange）、哈格蒂保險公司（Hagerty Insurance Agency）、哈特福德保險集團（Hartford Fire Insurance Company）、無限保險公司（Infinity Insurance Company）、利寶互助保險公司（Liberty Mutual Insurance Company）、Metromile保險公司（Metromile Insurance Company）、米德維爾賠償公司（Midvale Indemnity Company）以及國家汽車互助保險公司（State Automobile Mutual Insurance Company）。

金融服務廳指出，這些公司違反了該廳自2017年起實施的網路安全規範，未能落實足夠的政策與防護機制以保護消費者個人資料，導致駭客通過對外公開的報價系統與業務員入口網站存取非公開個人資料。

DFS調查發現，部分公司在資安事件發生後未即時通報監管機關，違反了事件通報義務。最終，8家公司同意支付合計超過1,900萬美元罰款，並採取補救措施，包括全面檢討資料存取權限與資訊系統漏洞。

紐約州總檢察長詹樂霞（Letitia James）同日宣布，對相同的8家汽車保險公司另開罰1,420萬美元，理由是資安措施不足、導致大規模資料外洩。

州總檢察長辦公室調查指出，駭客利用保險公司報價工具中的「預填」（pre-fill）功能入侵系統。該功能原設計為方便用戶輸入資料，但卻使駭客能在輸入有限個人資訊後，從資料庫中自動取得更多敏感資料，包括駕照號碼與家庭成員資訊。

調查顯示，多數公司缺乏基本安全機制，如多重驗證、防範惡意流量偵測與可疑行為監控。一些公司在多次攻擊後仍未修補漏洞或進行充分測試。

州總檢察長辦公室表示，這些汽車保險公司必須強化資安制度，包括建立完整的資安計劃、改善身分驗證與系統監控機制，並強化威脅回應流程。受影響的紐約居民可獲一年免費信用監控服務。

責任編輯：陳玟綺