Aon ha hecho público que la información confidencial de 145.889 de sus clientes norteamericanos podría estar en muy malas manos. Esta obraría en su poder después de una gran brecha de seguridad.
Los piratas informáticos habrían violado sus sistemas en varias ocasiones en un extenso período que transcurriría desde el 29 de diciembre de 2022 hasta el 26 de febrero de este año.
Estos accesos no autorizados resultarían especialmente graves si tenemos en cuenta a qué se dedica Aon. Se trata de una multinacional británica de servicios financieros que ofrece una amplia gama de productos de mitigación de riesgos.
La infracción fue revelada en una presentación a la Comisión de Valores y Bolsa de EE.UU. (SEC) en febrero. Además, se dieron más detalles varios meses después.
La compañía envió el pasado 27 de mayo una carta a las personas afectadas por este agujero de seguridad. En el escrito, las explicaba que entre los datos filtrados se incluían números de permisos de circulación, números de Seguridad Social y "en una pequeña cantidad de casos, información de contribuciones patronales".
“Aon ha tomado medidas para confirmar que el tercero no autorizado ya no tiene acceso a los datos y Aon no tiene indicios de que el tercero no autorizado haya copiado, retenido o compartido más los datos”, agrega la carta. "No tenemos motivos para sospechar que su información ha sido o será mal utilizada".
Como compensación, a los clientes afectados se les ha ofrecido una suscripción de 24 meses de manera gratuita con una empresa de protección de identidad.
Tardaron meses en informar a los afectados
A causa de la brecha, la firma británica ya ha recibido dos demandas. Estas buscan ahora mismo el estatus de demanda colectiva. A causa de estos litigios se ha podido conocer más información sobre las infracciones.
Los denunciantes subrayan que además de no poder prevenir las violaciones pese a su naturaleza Aon "esperó varios meses para informarlo a las personas afectadas".
Además, la denuncia recoge que "como resultado de esta respuesta tardía, los demandantes y los miembros de la clase no tenían idea de que su (información de identificación personal) se había visto comprometida, y que estaban, y siguen estando, en un riesgo significativo de robo de identidad y varias otras formas de robo personal, social y daño financiero. El riesgo permanecerá durante sus respectivas vidas”.
Un portavoz de la acusada asegura en una declaración que la empresa contrató a una empresa externa para realizar una investigación e informó rápidamente al FBI después de tener conocimiento de la violación.
"La investigación de terceros no encontró evidencia de que la información haya sido o vaya a ser mal utilizada. Desde que ocurrió el evento, implementamos una serie de controles diseñados para fortalecer aún más las salvaguardas existentes y brindamos servicios de monitoreo de crédito complementarios para aquellas personas que han recibido un aviso”, se defienden.
También han hecho hincapié en que no han sido víctimas del ransomware ni pagado para restaurar el control de sus sistemas, según se hace eco el medio especializado Infosecurity Magazine.