Veliki američki osiguravajući provajder Allianz Life Insurance Company potvrdio je u subotu da su hakeri kompromitovali lične podatke “većine” njegovih 1,4 miliona klijenata nakon sofisticiranog sajber napada 16. jula 2025. godine.
Proboj, otkriven u obaveznom podnesku državnom tužiocu Mainea, bio je usmjeren na sistem za upravljanje odnosima s klijentima (CRM) treće strane, zasnovan na oblaku, koji koristi osiguravajuća kuća sa sjedištem u Minneapolisu.
Prema riječima portparola kompanije Bretta Weinberga, napadači su koristili tehnike socijalnog inženjeringa kako bi dobili neovlašteni pristup ličnim podacima koji pripadaju klijentima, finansijskim stručnjacima i odabranim zaposlenicima Allianz Life-a.
Sofisticirane metode napada
Napadi socijalnog inženjeringa manipulišu ljudskom psihologijom umjesto da iskorištavaju tehničke ranjivosti, što ih čini sve efikasnijim protiv modernih sigurnosnih sistema.
Ovi napadi obično uključuju kriminalce koji se lažno predstavljaju kao pouzdani subjekti kako bi prevarili zaposlenike da im daju pristupne podatke ili osjetljive informacije.
Incident od 16. jula otkriven je sljedećeg dana, što je navelo Allianz Life da obavijesti FBI i odmah pokrene mjere suzbijanja.
Kompanija je naglasila da njena istraga nije pronašla “nikakve dokaze” da su drugi sistemi na njenoj mreži bili kompromitovani, uključujući i ključni sistem za upravljanje politikama kod državnog tužioca Maine-a.
Ovaj propust predstavlja najnoviji u valu sajber napada koji su uništili američki sektor osiguranja tokom 2025. godine. Istraživači sigurnosti u Google-u identifikovali su propuste u industriji osiguranja od strane Scattered Spidera, ozloglašenog hakerskog kolektiva poznatog po sofisticiranim kampanjama socijalnog inženjeringa .
Scattered Spider, također praćen kao UNC3944 i Octo Tempest, sastoji se prvenstveno od tinejdžera i mladih odraslih osoba iz Sjedinjenih Američkih Država i Ujedinjenog Kraljevstva koji govore engleski jezik. Grupa je prethodno ciljala velike kompanije, uključujući MGM Resorts i Caesars Entertainment, a nedavno je preusmjerila fokus na sistematske napade na osiguravajuće kuće.
Prije nego što je ciljao osiguravajuće kuće, Scattered Spider je bio povezan s napadima na britanske trgovce, uključujući Marks & Spencer , kao i na avio-kompanije i transportne kompanije. Taktike grupe obično uključuju pozivanje korisničke službe kompanija, lažno predstavljanje zaposlenika i manipulisanje osobljem da resetuje lozinke ili omogući pristup sistemu.
Prema zakonu države Maine o obavještavanju o povredi podataka, Allianz Life mora obavijestiti pogođene osobe u roku od 30 dana od otkrivanja obima povrede. Kompanija planira početi s obavještavanjem klijenata oko 1. augusta 2025. godine.
Allianz Life, podružnica njemačkog finansijskog giganta Allianz SE, nudi anuitete i proizvode životnog osiguranja u svim američkim državama osim New Yorka. Matična kompanija opslužuje preko 125 miliona klijenata širom svijeta i među najvećim je osiguravateljima na svijetu.
Tržište sajber osiguranja, procijenjeno na 16,3 milijarde dolara u 2025. godini, nastavlja se širiti kako se organizacije suočavaju sa sve sofisticiranijim prijetnjama. Ovaj incident naglašava kritičnu potrebu za poboljšanim mjerama sajber sigurnosti u cijeloj industriji osiguranja, posebno s obzirom na ogromne repozitorije osjetljivih podataka o klijentima koje imaju osiguravači.
Istraga je i dalje u toku, a Allianz Life blisko sarađuje sa saveznim vlastima kako bi se utvrdio puni obim kršenja i spriječili budući incidenti.
Izvor: CyberSecurityNews
