ニューヨーク州は、非常に不適切な設計の Web サイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。
データが盗まれたのは、オールステートのナショナル・ジェネラル・ビジネス・ユニットが運営していた、保険の見積もりを希望する消費者向けの Web サイトだ。同サイトのユーザーは名前と住所を入力する必要があり、その情報をもとにしてレクシスネクシス・リスク・ソリューションズのデータベースを用いて、その住所の住人のデータを検索する。
その後、指定の氏名と住所に関連する運転免許証番号(DLN:Driver's License Number)や「同住所に住んでいる可能性のある運転者全員の氏名、および彼らの DLN 」を含む検索結果が画面に現れる。
当然、犯罪者はこのシステムを利用して、詐欺の目的で他人の個人情報を収集していた。
「ナショナル・ジェネラルは、見積もりプロセスの際に、消費者の DLN が自動的に暗号化されず平文で表示されるツールを意図的に作成した。つまり、見積もり Web サイトの画面上で完全に開示されるようにしたのだ」と、裁判資料 [PDF] には記載されている。
「予想通り、攻撃者はこの脆弱性を特定し、多くのニューヨーカーの DLN に簡単にアクセスする手段として、この見積もりツールを悪用した」と訴状には記載されている。 デジタル窃盗犯は、この情報を利用して「パンデミックや失業手当の不正請求」を行ったとされている。
オールステートの広報担当者は訴訟について 本誌 The Register に次のような声明をメールで送った。
