InterRisk umożliwiał dostęp do danych swoich klientów na podstawie znajomości jedynie numeru PESEL danej osoby. Wadliwą procedurę uzyskiwania dostępu do konta w portalu klienckim InterRisku opisuje serwis Niebezpiecznik.

Przeczytajcie także: • Wystartował nowy ubezpieczyciel

Jak tłumaczy Niebezpiecznik, InterRisk naraził swoich klientów na to, że ich dane wpadną w niepowołane ręce. Wszystko dlatego, że źle zaprojektowano formularz do odzyskiwania hasła do konta w serwisie iKlient. Aby bowiem uzyskać dostęp do konta, wystarczyło podać numer PESEL klienta (a ten nie jest przecież znany tylko jego posiadaczowi) i numer telefonu, na który InterRisk wysyłał zresetowane hasło. Co istotne, nie musiał to być telefon zgłoszony wcześniej przez klienta, ale dowolny numer. W rezultacie znając czyjś PESEL, można się było zalogować na jego konto, podając swój numer i wpisując przesłane przez InterRisk hasło.

W ten sposób nieuprawniona do tego osoba mogła dotrzeć do informacji o wykupionych przez klienta ubezpieczeniach, a także jego danych. Ich zakres zależny był od polis, które klient miał w InterRisku. W ocenie Niebezpiecznika nie sposób natomiast oszacować, czy rzeczywiście ktoś niepowołany wykorzystał ten wadliwy mechanizm i ewentualnie jaka była skala nadużycia. Informacji na ten temat nie dostarczył serwisowi także sam ubezpieczyciel.

Przeczytajcie także: • Kto zasłużył na miano Insurtechu roku?

Zaraz po interwencji Niebezpiecznika InterRisk wyłączył dostęp do formularza odzyskiwania hasła. Co więcej, służby prasowe ubezpieczyciela zadeklarowały, że aplikacja iKlient była już w fazie wygaszania. I rzeczywiście teraz jest już niedostępna. Przedstawiciele ubezpieczyciela zadeklarowali natomiast, że pracują nad nowym narzędziem tego typu.

Źródło: Niebezpiecznik.