Allianz Life anuncia que a maior parte dos dados pessoais de clientes foi roubada em ataque cibernético

 (techcrunch.com)
2 pontos por GN⁺ 2025-07-28 | 1 comentários | Compartilhar no WhatsApp
  • A seguradora americana Allianz Life sofreu um ataque cibernético, e dados pessoais de clientes, profissionais financeiros e parte dos funcionários foram roubados
  • O invasor roubou a maior parte das informações de um sistema de CRM baseado em nuvem usando técnicas de engenharia social
  • A Allianz Life cumpriu os procedimentos legais de notificação e informou o FBI, mas não divulgou uma estimativa do grupo hacker nem o número de vítimas
  • Recentemente, incidentes semelhantes de vazamento de dados em todo o setor de seguros vêm ocorrendo em sequência, e aumentam os casos atribuídos ao grupo de hackers Scattered Spider
  • A notificação individual das vítimas deve começar por volta de 1º de agosto

Visão geral do ataque cibernético à Allianz Life

  • A Allianz Life, uma grande seguradora dos Estados Unidos, confirmou oficialmente ao TechCrunch que dados pessoais de muitas pessoas, incluindo clientes, foram roubados em um incidente de vazamento de dados ocorrido em meados de julho de 2025
  • Um porta-voz da Allianz Life reconheceu oficialmente o incidente e especificou que o ataque ocorreu em 16 de julho de 2025
  • O invasor acessou um sistema de CRM (gestão de relacionamento com clientes) em nuvem de terceiros e roubou, por meio de técnicas de engenharia social, informações pessoais identificáveis da maioria dos clientes, de profissionais financeiros e de parte dos funcionários

Situação do vazamento de dados e resposta

  • O vazamento de dados foi divulgado por meio de um comunicado legal no estado do Maine, e o número de clientes afetados não foi informado de imediato
  • A Allianz Life tem cerca de 1,4 milhão de clientes nos Estados Unidos, e sua controladora, Allianz, possui mais de 125 milhões de clientes em todo o mundo
  • A Allianz Life informou o FBI sobre o caso, mas não revelou se houve exigência de dinheiro por parte dos hackers nem se houve comunicação direta com eles
  • A empresa destacou que os hackers acessaram apenas o sistema de CRM e que não há evidências de comprometimento de outros sistemas da rede

Incidentes semelhantes no setor e contexto

  • No último mês, grandes ataques hackers contra seguradoras como a Aflac vêm ocorrendo em sequência
  • Pesquisadores de segurança do Google afirmaram, em junho, que estavam cientes de múltiplos incidentes de invasão em todo o setor de seguros e apontaram o grupo de hackers Scattered Spider, que utiliza engenharia social, como responsável
    • Técnica de engenharia social: método de obter acesso à rede enganando funcionários do help desk com recursos como ligações falsas de personificação
  • No passado, o Scattered Spider já atacou diversos setores, incluindo varejo no Reino Unido, aviação e transporte, e grandes empresas de tecnologia do Vale do Silício

Próximas medidas e orientação

  • A Allianz Life planeja iniciar notificações individuais a clientes afetados e demais partes interessadas por volta de 1º de agosto
  • Para envio de informações adicionais relacionadas à segurança e para consultas, recomenda-se um canal criptografado separado

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-28
Comentários no Hacker News

  • Eu acabo dizendo isso com frequência, sei que é uma opinião impopular, mas não entendo bem por quê
    Pesquisadores de segurança, hackers white hat e hackers grey hat deveriam ter forte proteção legal ao encontrar vulnerabilidades, desde que apenas as reportem
    Hackers maliciosos continuam procurando falhas de segurança, mas não existe nenhum sistema que os impeça
    Por outro lado, quando um hacker bem-intencionado faz a mesma coisa, ele pode ser processado por crime grave
    Já foi demonstrado empiricamente que falhamos em criar sistemas seguros
    É constrangedor, mas a maioria das nossas grandes empresas e organizações mal tem capacidade de construir sistemas seguros
    Um dos motivos pelos quais tentamos ignorar esse fato é que nem mesmo pesquisa de segurança de red team interna costuma ser permitida
    No fim, toda a situação acaba favorecendo empresas e organizações poderosas
    As empresas dizem: "nosso sistema é nossa responsabilidade e não pode ser testado sem autorização. Mas, se os dados vazarem, não temos responsabilidade"
    Ou seja, é irônico que as organizações escolham quando têm responsabilidade e quando não têm, conforme sua conveniência
    As empresas são responsáveis pela segurança dos seus sistemas ou isso é uma tarefa coletiva de todos nós? Isso precisa ficar claro
    Quando dados de metade da população de um país vazam com frequência, isso parece um problema que envolve todo mundo
    E isso é, de fato, uma questão de segurança nacional
    Por exemplo, existe algum órgão independente que verifica se a rede elétrica de um país é segura, ou eu mesmo poderia tentar legalmente?
    Não, não poderia. Só a tentativa já seria um crime grave
    Assim, organizações tão poderosas podem deixar brechas na segurança dos seus sistemas sem fazer nada, e ninguém de fora tem o direito de estudar essas falhas
    No fim, estamos sacrificando a segurança nacional pela conveniência corporativa e para evitar que empresas passem vergonha

    • Isso me faz pensar se os bancos de dados de clientes da Google, facebook e Microsoft já chegaram mesmo a ser hackeados
      Hoje quase não existe responsabilização para empresas que produzem software de forma tão descuidada
      Cada vazamento de dados deveria causar um dano proporcional ao tamanho da empresa envolvida
      Por exemplo, o caso Equifax deveria ter chegado perto de derrubar a empresa
      As multas teriam de ser na casa dos bilhões de dólares para gerar senso de urgência e auditorias internas sérias
      Do jeito que está, na prática não existe motivo algum para se preocupar com segurança

    • Se existisse uma estrutura em que as empresas realmente sofressem punições pesadas — por exemplo, com reguladores calculando os danos e impondo penalidades de longo prazo — o preço das ações cairia, e as empresas seriam obrigadas a levar segurança a sério
      A realidade é o oposto: muitas vezes as empresas recebem só um aviso leve e fica por isso mesmo

    • É um argumento interessante
      Mas, se white hats e grey hats passassem a ter proteção legal, parece que black hats poderiam invadir qualquer sistema antes de todo mundo e depois alegar: "eu só estava procurando vulnerabilidades"
      Poderiam simplesmente não reportar a falha, guardar todos os métodos e usar depois num ataque real quando quisessem
      Alguém poderia até passar a vida inteira posando de white hat e, na prática, vender essas informações em segredo
      O sistema atual, na verdade, acaba desestimulando esse tipo de comportamento

    • Para esse problema não acontecer, a web precisaria ter um certo grau de anonimato garantido, e situações em que alguém encontrasse uma falha por acidente ou causasse um problema ao agir de forma normal não deveriam ser tratadas como crime
      Além disso, se em vez de strings o banco de dados armazenasse tokens com criptografia assimétrica, e em caso de vazamento o usuário pudesse ser indenizado pelo serviço, talvez fosse mais fácil resolver
      Mas nenhuma empresa quer realmente garantir a proteção do usuário desse jeito
      No fim, a maior parte das atividades de segurança é só teatro

    • É importante lembrar que nem toda pesquisa de segurança é igual
      Pesquisas dentro de um limite de bom senso com que muita gente concordaria — como encontrar uma vulnerabilidade por acaso e reportá-la — claramente deveriam ser protegidas
      Já testes de intrusão feitos sem autorização explícita podem, de fato, causar problemas ao sistema
      Liberar isso indiscriminadamente para todo mundo pode atrapalhar até sistemas bem construídos
      Existem áreas, como algoritmos de criptografia, em que há soluções mais técnicas, mas cibersegurança ainda depende de lei e confiança

  • Esses vazamentos intermináveis de dados poderiam diminuir se a estrutura de incentivos mudasse, mas acho difícil que isso aconteça na prática
    É preciso reconhecer que não dá para impedir tudo — pessoas cometem erros, e quanto maior a escala, mais erros existem
    Isso não significa que podemos deixar de tentar
    Como alternativa, também precisamos adotar algumas medidas para reduzir os danos causados por vazamentos de dados pessoais
    Não deveríamos tratar informações como data de nascimento, nome, endereço, telefone, e-mail e SSN como segredos; em vez disso, deveríamos bloquear os vários caminhos pelos quais isso pode ser usado de fato em fraude de identidade
    Eu detesto até o termo identity theft — ele faz parecer que a vítima cometeu algum erro
    Na prática, o problema é que empresas verificam a identidade da outra parte de qualquer jeito e fazem a transação
    O peso da responsabilidade deveria estar nas empresas
    Por exemplo, se um banco concede um empréstimo em meu nome, a responsabilidade deveria ser do banco, não minha
    Se só essa estrutura mudasse, as empresas passariam a verificar identidade com muito mais rigor e os incentivos ficariam alinhados
    Claro que o problema dos vazamentos não se resume à fraude de identidade, mas só essa parte já seria bastante solucionável

    • Se você concorda que eu detesto o termo identity theft, recomendo este vídeo de sketch
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • Sobre a afirmação de que “corrigir os incentivos reduziria os vazamentos”, fico na dúvida se o custo real de responder aos danos causados por vazamentos é, de fato, maior que o custo de impedir isso na raiz
      Tirando os casos ligados à segurança nacional, é um pouco difícil afirmar com certeza que o dano é maior do que o custo de implementar contramedidas

    • O termo “fraude de identidade” não necessariamente me soa como se a culpa fosse da vítima
      Quando algo é roubado de alguém, não costumamos dizer que a pessoa errou por isso
      Assim como não seria culpa minha se meu dinheiro fosse roubado de um cofre de banco
      O problema, no caso da cibersegurança, é que o atacante pode estar do outro lado do mundo, o que dificulta proteger a vítima
      No fim, a vítima continua sendo vítima

    • Já existe solução — MFA (autenticação multifator) e federação de IdP (provedor de identidade)
      Uma parte é algo que você sabe (dados), a outra é algo que você tem ou algo biométrico (como impressão digital)
      O IdP faz a autenticação dos dois lados e a responsabilidade pela autenticação também fica distribuída
      É como uma carteira de motorista: eu a possuo, e ela também pode ser verificada no sistema do governo
      O problema é que muitos lugares usam reconhecimento facial como segundo fator, o que traz grande risco à privacidade
      No longo prazo, o governo pode acabar se tornando o único IdP
      Métodos não biométricos têm dificuldades reais de escalar, mas impressão digital e afins já são geridos em muitos países, então ainda me parecem melhores que reconhecimento facial

  • Esse tipo de situação nunca, nunca vai desaparecer até que executivos quebrem financeiramente ou até sejam presos por negligência
    Mesmo que isso aconteça, no máximo vai reduzir a frequência e a gravidade

    • A menos que se trate de negligência intencional ou conduta maliciosa, não acho que mandar alguém para a prisão seja a resposta
      A maioria dos incidentes de segurança vem de erro humano
      Causar impacto financeiro às empresas pode até ter efeito dissuasório, mas, se a empresa quebrar, centenas ou milhares de pessoas podem ficar desempregadas de uma hora para outra
      Afinal, danos enormes podem surgir só de uma configuração errada de firewall ou de um funcionário cair em engenharia social
      Talvez seja mais realista reconhecer que cloud, SaaS e outros sistemas conectados à internet não são seguros por natureza e restringir fortemente seu uso
      Ou então mudar a estrutura da sociedade para que o vazamento de nome, SSN, data de nascimento, endereço ou nome de solteira da mãe não tenha utilidade alguma

    • Minha opinião é que deveríamos abolir a responsabilidade limitada
      Os acionistas deveriam responder com todo o seu patrimônio pelo valor integral dos danos das vítimas
      Se querem ficar com o lucro, então também deveriam arcar integralmente com o risco

    • Lembro que, quando o GDPR foi introduzido, divulgaram aquilo como se os executivos finalmente passassem a ser responsabilizados diretamente por incidentes de invasão, e muita gente criou grandes expectativas
      Na época eu achei aquilo bobagem, e foi exatamente isso
      Para haver responsabilidade legal, é preciso provar negligência grave, e no tribunal há muitas brechas para escapar
      Nunca vai chegar uma era em que executivos respondam por tudo o que aconteceu durante seus mandatos

  • Na minha opinião, deveria existir uma multa automática de £1.000 por cada registro de cliente vazado
    Para uma empresa com milhões de clientes, isso poderia significar o fim da própria empresa
    Na realidade, ninguém liga, e quando um vazamento acontece basta mandar um e-mail morno de desculpas e pronto
    No Reino Unido, o ICO é uma instituição tão inútil e perigosamente inútil quanto a Ofwat
    (corrigi um erro de digitação)

    • A multa deveria ser paga diretamente aos clientes
      Hoje o modelo é receber alguns centavos depois de uma ação coletiva, cerca de um ano depois, e isso não ajuda de verdade o cliente

    • Dizem que a empresa ficaria “sem chance de recuperação”, mas aí fica a pergunta: o que acontece com os clientes dessa empresa?
      Isso não acabaria causando mais dano justamente às vítimas?

    • Existe também a preocupação de que uma multa grande demais acabe afetando a economia do país inteiro

  • A Allianz realmente oferece seguro para esse tipo de ataque cibernético
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • O próprio seguro é parte do problema
      Porque para as empresas sai mais barato simplesmente contratar seguro do que investir e pesquisar para desenvolver software seguro
      Enquanto essa estrutura continuar, nada vai mudar

    • Pelo menos isso mostra que a proteção de endpoints exigida contratualmente estava funcionando direito

  • Parte do problema também é que desenvolvedores de Salesforce não conhecem bem o produto, e o próprio Salesforce não dá tanta importância assim à segurança
    Em ambientes mal configurados, é possível ver todos os dados acessíveis com apenas 2 requisições web e sem autenticação
    Também não existe um sistema de monitoramento decente, então foi preciso desenhar toda a estrutura de monitoramento de segurança externamente com base nos logs ruins do Salesforce
    Deixo aqui um guia que vale consultar
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    Dá para automatizar isso e acabar encontrando até sites de Salesforce ao final do reconhecimento
    Eu mesmo já fiz isso na prática

  • A matéria diz: "Em 16 de julho de 2025, um hacker malicioso acessou o sistema de CRM em nuvem de terceiros usado pela Allianz Life"
    Fico me perguntando o que exatamente seria esse “CRM em nuvem de terceiros”

    • Vale ver também o texto recente do Google sobre Salesforce
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • Outra matéria mencionou Salesforce, e muitas vezes quem é dono dos dados deixa a segurança frouxa
      Há vários tenants de Salesforce mal configurados expostos pela internet

    • Em qualquer sistema isso não faz tanta diferença, faz?
      A causa não foi um hack técnico, e sim engenharia social, ou seja, enganar pessoas

    • Dependendo do CRM usado, isso não poderia até configurar violação da HIPAA?

  • Mesmo com gestão fraca da segurança de dados, quase não existe punição real para grandes empresas
    O governo tornou praticamente impossível trocar o SSN, mas continua usando SSN para verificar identidade
    Por causa disso, a maioria das pessoas já está exposta

  • Como a matéria menciona, além dos ataques de engenharia social por call center e afins, informações corporativas estão espalhadas demais pela internet
    Por exemplo, o LinkedIn é um tesouro para engenharia social
    Como perfis podem ser vistos por qualquer usuário logado, independentemente de conexão, parece estranho que mais empresas não revisem ativamente os perfis dos funcionários

  • É um enorme incômodo para o cliente e prejudica a empresa, mas em algum momento precisamos nos perguntar se isso não é uma falha sistêmica social, algo como uma “tragédia dos comuns”
    Do ponto de vista legal, se um banco usa para autenticação apenas informações públicas fáceis de abusar, como SSN ou nome de solteira da mãe, então, quando houver um incidente real, o banco deveria ser responsabilizado