Investing.com -- Le procureur général de New York, Letitia James, a intenté une action en justice contre les compagnies d’assurance National General et Allstate Insurance Company (NYSE:ALL) suite à une série de fuites de données. Ces violations, survenues en 2020 et 2021, ont exposé les numéros de permis de conduire de plus de 165.000 New-Yorkais. La poursuite allègue que National General n’a pas protégé adéquatement les informations personnelles contre les cyberattaques et n’a pas informé les consommateurs touchés après la première fuite de données.
Le Bureau du procureur général (OAG) affirme que National General n’a pas vérifié si des informations sensibles étaient exposées ailleurs dans son système après la première violation. Cette négligence présumée a permis une deuxième violation plus importante quelques mois plus tard. La poursuite affirme que ces violations étaient dues à l’incapacité de National General à mettre en œuvre des mesures de sécurité des données raisonnables, avant et après qu’Allstate ait pris le contrôle de ses opérations de sécurité des données.
La poursuite réclame des sanctions pour le défaut présumé de National General d’établir des mesures de sécurité des données raisonnables et d’informer les consommateurs. Elle demande également une injonction pour faire cesser toute violation continue.
Selon le procureur général James, "La faible cybersécurité de National General a enhardi les pirates informatiques à voler les données personnelles des New-Yorkais, non pas une fois mais deux fois lors de deux cyberattaques distinctes." Elle a ajouté qu’il est crucial que les entreprises prennent la cybersécurité au sérieux pour protéger les consommateurs contre la fraude et le vol d’identité.
En 2020, les attaquants ont ciblé les sites web de devis en ligne de National General, qui fournissaient des devis d’assurance automobile instantanés. Ces sites web étaient conçus pour afficher automatiquement les numéros complets de permis de conduire des consommateurs en texte clair avec une saisie minimale, une faille que les attaquants ont exploitée pour accéder aux informations privées des consommateurs.
La première violation a affecté deux sites web publics, exposant les numéros de permis de conduire de près de 12.000 personnes, dont plus de 9.100 New-Yorkais. National General n’aurait pas détecté la violation pendant deux mois en raison d’une surveillance inadéquate et d’un manque de protection contre les attaques automatisées.
Après avoir découvert la violation, National General n’aurait pas alerté les consommateurs touchés ni notifié les agences gouvernementales appropriées. La société aurait également continué à laisser les numéros de permis de conduire exposés sur un site de devis distinct pour les agents d’assurance indépendants, qui était également faiblement protégé.
Une deuxième violation plus importante s’est produite en février 2021, compromettant les informations personnelles de 187.000 consommateurs supplémentaires, dont les numéros de permis de conduire d’environ 155.000 New-Yorkais. La poursuite allègue que les défaillances de sécurité des données de National General se sont poursuivies même après que The Allstate Corporation ait acquis National General et qu’Allstate ait pris en charge la fonction de sécurité des données de National General.
Le procureur général James allègue que National General a violé les lois étatiques sur la protection des consommateurs et des entreprises en ne sécurisant pas les informations sensibles, en présentant de manière trompeuse ses pratiques de sécurité des données aux clients et aux consommateurs, et en ne notifiant pas les consommateurs touchés par la violation initiale.
Cet article a été généré et traduit avec l’aide de l’IA et revu par un rédacteur. Pour plus d’informations, consultez nos T&C.