【大.纪.元;2025年10月15日讯】（大.纪.元;记者黄小堂纽约报导）纽约州金融服务厅（DFS）与州总检察长办公室（OAG）14日分别宣布，由于8家汽车保险公司资安管理不当，导致超过82.5万名纽约州居民个资外泄的事件，这些公司合计付了超过3,300万美元的罚款与和解金。

这些资安漏洞让骇客得以入侵汽车保险公司用于报价的网页系统，窃取包含驾照号码、出生日期等敏感资料，部分资料甚至在新冠疫情期间遭用于冒领失业补助。

根据DFS厅长哈里斯（Adrienne Harris）办公室公告，8家涉案的汽车保险公司分别为农民保险公司 （Farmers Insurance Exchange）、哈格蒂保险公司（Hagerty Insurance Agency）、哈特福德保险集团（Hartford Fire Insurance Company）、无限保险公司（Infinity Insurance Company）、利宝互助保险公司（Liberty Mutual Insurance Company）、Metromile保险公司（Metromile Insurance Company）、米德维尔赔偿公司（Midvale Indemnity Company）以及国家汽车互助保险公司（State Automobile Mutual Insurance Company）。

金融服务厅指出，这些公司违反了该厅自2017年起实施的网路安全规范，未能落实足够的政策与防护机制以保护消费者个人资料，导致骇客通过对外公开的报价系统与业务员入口网站存取非公开个人资料。

DFS调查发现，部分公司在资安事件发生后未即时通报监管机关，违反了事件通报义务。最终，8家公司同意支付合计超过1,900万美元罚款，并采取补救措施，包括全面检讨资料存取权限与资讯系统漏洞。

纽约州总检察长詹乐霞（Letitia James）同日宣布，对相同的8家汽车保险公司另开罚1,420万美元，理由是资安措施不足、导致大规模资料外泄。

州总检察长办公室调查指出，骇客利用保险公司报价工具中的“预填”（pre-fill）功能入侵系统。该功能原设计为方便用户输入资料，但却使骇客能在输入有限个人资讯后，从资料库中自动取得更多敏感资料，包括驾照号码与家庭成员资讯。

调查显示，多数公司缺乏基本安全机制，如多重验证、防范恶意流量侦测与可疑行为监控。一些公司在多次攻击后仍未修补漏洞或进行充分测试。

州总检察长办公室表示，这些汽车保险公司必须强化资安制度，包括建立完整的资安计划、改善身份验证与系统监控机制，并强化威胁回应流程。受影响的纽约居民可获一年免费信用监控服务。

责任编辑：陈玟绮