美国车险公司AssuranceAmerica证实,一起始于今年3月的入侵最终导致约699万人的姓名、联系方式、驾照号码,连同保单、车辆和理赔信息一起被偷走。这是2026年迄今美国已知规模最大的一次驾照数据泄露,比6月得州公园与野生动物部门那起事件还多出一倍以上。
更值得留意的是一个原文一笔带过的细节:这批数据本该被两个州的监管备案系统"接住",但其中一个查无此案,另一个通报入口干脆下线了。
三个月里发生了什么
AssuranceAmerica成立于1998年,在美国十几个州卖车险和租车险,手里攥着大量投保人和驾驶人的个人信息。公司说,黑客3月17日就已经潜入系统,直到6月15日结束调查才确认损失:姓名、联系方式、驾照号码之外,还有客户的保单账户、车辆信息和理赔记录。通知信定在7月10日寄出。
公司在通知里只说黑客"针对了一名员工",随后"禁用了被盗凭证",但没解释凭证怎么丢的。TechCrunch向CEO Joe Skruck和创始人Guy Millner发去问询,包括是否与黑客有接触、是否付了赎金,两人都没回应。类似的员工凭证被盗事件,过去一年里在Snowflake、Ultrahuman、Vercel身上都出现过,原因多和窃密木马或第三方软件被攻陷有关,但AssuranceAmerica这次具体是哪一种,目前还看不清。
监管备案本身也在漏水
按公司通知的说法,这起泄露已经在印第安纳州总检察长办公室登记,受影响人数699万,通知信7月10日寄出。缅因州总检察长办公室提供的另一份通知副本,也确认了同样的699万这个数字。
但检索印第安纳州总检察长官网已公开的2026年度泄露报告,却没能找到AssuranceAmerica对应的条目。这可能是收录滞后,也可能是登记流程本身另有渠道,但至少说明"公司称已登记"和"监管记录可查"之间,存在一段外人核实不了的空白。
- 风险.缅因州的数据泄露通报门户,上月因一起虚假泄露披露被下线审查,目前处于关闭状态,受影响用户想通过官方渠道核实,反而无门可查。
证件泄露年年有,今年新鲜的是监管的账本自己也对不上
和得州比一比,规模在往上走
6月,得州公园与野生动物部门的一家供应商泄露了约309万条驾照和护照信息,当时已经是今年公共部门这类事件里最大的一起。AssuranceAmerica这次直接把纪录刷到699万,量级翻倍还多,而且换成了私营保险业。
这两起之外,今年还陆续出过酒店入住系统、加拿大转账App、监狱付费电话服务商、英国签证系统泄露驾照或护照信息的事。同一时期,多国正在推进网络年龄验证立法,要求用户上传身份证件证明年龄——这不能证明是本次泄露的诱因,但确实让驾照这类证件信息在更多网站和App里被集中存起来,暴露面客观上更大了。
- 结论.对被通知到的AssuranceAmerica客户,能做的现实动作就是冻结信用记录、留意保险和贷款相关的异常申请,而不是等公司公布攻击细节——目前看,公司也没打算主动交代。
