Violação de dados da Allianz Life atinge 1,4 milhão de clientes

A Allianz Life Insurance Company of North America, com sede em Minneapolis, MN, confirmou uma violação de dados significativa, que afetou as informações pessoais da maioria de seus 1,4 milhão de clientes, profissionais financeiros e funcionários selecionados. O incidente, ocorrido em 16 de julho de 2025 e descoberto no dia seguinte, envolveu acesso não autorizado a uma plataforma de gestão de relacionamento com o cliente (CRM) operada por um fornecedor terceirizado.

De acordo com o TechCrunch, que noticiou o incidente pela primeira vez, o invasor obteve acesso usando uma técnica de engenharia social, que envolve manipular indivíduos por meio de fraude para obter credenciais ou dados confidenciais. Embora o número exato de pessoas afetadas ainda não tenha sido divulgado, a empresa relatou a violação às autoridades, incluindo o FBI e a Procuradoria-Geral do Maine.

“O agente da ameaça conseguiu obter dados de identificação pessoal relacionados à maioria dos clientes, profissionais financeiros e funcionários selecionados da Allianz Life. Tomamos medidas imediatas para conter e mitigar o problema e notificamos o FBI”, declarou o porta-voz da empresa.

A Allianz Life planeja começar a enviar notificações por escrito aos indivíduos afetados por volta de 1º de agosto de 2025, oferecendo-lhes 24 meses de monitoramento de crédito gratuito e proteção contra roubo de identidade . Os sistemas internos da empresa, incluindo sua plataforma de administração de apólices, permaneceram seguros durante todo o incidente. A violação também foi confirmada pela controladora Allianz SE, que afirmou que se limitou às operações da Allianz Life na América do Norte e não afetou outras partes da rede global do Grupo Allianz.

O método usado na violação da Allianz Life, empregando engenharia social para acessar um sistema de terceiros, apresenta semelhanças com as táticas usadas pelo coletivo de hackers Scattered Spider. Este grupo é conhecido por usar falsidades, como se passar por help desks de TI , para roubar credenciais de fornecedores de tecnologia. No entanto, os autores específicos do ataque à Allianz Life não foram identificados.

Este incidente destaca um desafio crescente para empresas de serviços financeiros: proteger suas redes de tecnologia estendidas, dado o número crescente de casos em que empresas financeiras são comprometidas por meio de provedores terceirizados em vez de ataques diretos à sua infraestrutura principal.

Fornecedores terceirizados que lidam com dados confidenciais de clientes tornaram-se alvos atraentes para cibercriminosos que buscam um ponto de entrada único para acessar informações de diversas organizações. Sistemas de CRM baseados em nuvem são particularmente atraentes, pois contêm informações valiosas sobre os clientes, como informações de contato, especificações de apólices e históricos de comunicação, e podem potencialmente oferecer caminhos para que invasores se aprofundem nas redes corporativas.

Embora a Allianz Life tenha implementado rapidamente medidas de contenção e esteja notificando os clientes afetados, especialistas alertam que dados pessoais roubados ainda podem ser "usados" em futuras tentativas de engenharia social visando as mesmas vítimas. Os indivíduos afetados devem, portanto, permanecer vigilantes contra mensagens não solicitadas ou links suspeitos.

“Esta violação destaca que as maiores ameaças nem sempre vêm de ataques diretos, mas frequentemente de uma combinação de vulnerabilidades em toda a cadeia de suprimentos. Neste caso, o invasor utilizou diversas técnicas: engenharia social para obter direitos de acesso e uma solução de terceiros como backdoor para o sistema”, disse Boris Cipot, Engenheiro de Segurança Sênior da Black Duck, uma provedora de soluções de segurança de aplicativos com sede em Burlington, Massachusetts.

“A Allianz respondeu adequadamente, notificando as autoridades e o cliente afetado, e oferecendo serviços de monitoramento de crédito e identidade”, acrescentou Boris. “No entanto, os indivíduos afetados devem permanecer vigilantes. Os dados roubados ainda podem ser usados em tentativas posteriores de engenharia social. Tenha cuidado com mensagens não solicitadas, especialmente aquelas que contêm links ou anexos. Não clique em links ou abra arquivos a menos que tenha absoluta certeza de que são legítimos”, alertou.