印度最大的健康保險公司 Star Health 被盜的客戶資料（包括醫療報告）可透過 Telegram 上的聊天機器人公開訪問，而就在幾週前，Telegram 的創始人被指控允許該通訊應用程式促進犯罪。

據稱聊天機器人的創建者告訴一名安全研究人員，數百萬人的私人詳細資訊正在出售，並且可以透過要求聊天機器人洩露來查看樣本。

市值超過 40 億美元的 Star Health 和 Allied Insurance 在給路透社的聲明中表示，已向地方當局報告了涉嫌未經授權的數據存取的情況。該公司表示，初步評估顯示“沒有大規模的妥協”，並且“敏感的客戶資料仍然安全”。

使用聊天機器人，路透社能夠下載包含姓名、電話號碼、地址、稅務詳細資料、身分證影本、測試結果和醫療診斷的保單和索賠文件。

人們普遍認為，用戶創建聊天機器人的能力幫助總部位於杜拜的 Telegram 成為全球最大的通訊應用程式之一，每月擁有 9 億活躍用戶。

然而，出生於俄羅斯的創始人 Pavel Durov 上個月在法國被捕，這加大了對 Telegram 內容審核和可能被濫用以達到犯罪目的的功能的審查。杜羅夫和 Telegram 否認有不當行為，並正在回應批評。

使用 Telegram 聊天機器人出售被盜資料的行為表明，該應用程式在防止惡意代理利用其技術方面存在困難，並凸顯了印度公司在保護資料安全方面面臨的挑戰。

英國安全研究員賈森·帕克 (Jason Parker) 表示，Star Health 聊天機器人有一條歡迎消息，稱它們是“xenZen 開發的”，並且至少從 8 月 6 日起就開始運行。

Parker 表示，他在一個線上駭客論壇上冒充潛在買家，其中一位別名為 xenZen 的用戶表示，他們製造了聊天機器人，並擁有與超過 3,100 萬 Star Health 客戶相關的 7.24 TB 資料。這些數據是透過聊天機器人隨機、零散地免費提供的，但以批量形式出售。

路透社既無法獨立驗證 xenZen 的說法，也無法確定聊天機器人創建者如何取得資料。 xenZen 在給路透社的一封電子郵件中表示，他們正在與買家進行討論，但沒有透露他們感興趣的人或原因。

數據已刪除

在測試機器人時，路透社下載了 1,500 多個文件，其中一些文件的日期最近為 2024 年 7 月。

歡迎訊息中寫道：“如果這個機器人被刪除，請小心，另一個機器人將在幾個小時內上線。”

這些聊天機器人後來被標記為“SCAM”，並附有警告，稱用戶已舉報它們為可疑對象。路透社於9 月16 日與Telegram 分享了這些聊天機器人的詳細信息，發言人雷米·沃恩(Remi Vaughn) 在24 小時內表示，這些聊天機器人已被“刪除”，並要求在出現更多聊天機器人時予以通知。

“明確禁止在 Telegram 上共享私人信息，一旦發現就會刪除。版主結合主動監控、人工智能工具和用戶報告，每天刪除數百萬條有害內容。”

此後出現了新的聊天機器人，提供 Star Health 數據。

Star Health 表示，一名身份不明的人於 8 月 13 日聯繫該公司，聲稱可以存取其部分資料。該保險公司向其家鄉泰米爾納德邦的網路犯罪部門和聯邦網路安全機構 CERT-In 報告了此事。

Star Health 在聲明中表示：「未經授權獲取和傳播客戶資料是非法的，我們正在積極與執法部門合作解決這一犯罪活動。Star Health 向其客戶和合作夥伴保證，他們的隱私對我們至關重要。

印度最大的獨立健康保險公司 Star Health 在 8 月 14 日向證券交易所提交的文件中表示，它正在調查涉嫌違反「一些索賠數據」的事件。

CERT-In 和泰米爾納德邦網路犯罪部門的代表沒有回覆透過電子郵件發送的置評請求。

不知情

Telegram 允許個人或組織在匿名帳戶下儲存和共享大量資料。它還允許他們創建可自訂的聊天機器人，根據用戶請求自動提供內容和功能。

兩個聊天機器人分發 Star Health 資料。其中一份提供 PDF 格式的索賠文件。另一個允許用戶透過點擊從 3,120 萬個資料集中請求最多 20 個樣本，提供包括保單編號、名稱甚至體重指數在內的詳細資訊。

路透社披露的文件中包括與投保人 Sandeep TS 一歲女兒在南部喀拉拉邦一家醫院接受治療有關的記錄。這些記錄包括診斷、驗血結果、病史和近 15,000 盧比（179 美元）的帳單。

“這聽起來令人擔憂。你知道這會對我產生什麼影響嗎？”桑迪普說道，確認了這些文件的真實性。他說 Star Health 沒有通知他任何資料外洩的情況。

該聊天機器人去年還洩露了投保人 Pankaj Subhash Malhotra 的索賠，其中包括超音波成像測試結果、疾病詳細資訊以及聯邦稅務帳戶和國民身分證的副本。他還證實這些文件是真實的，並表示他不知道有任何安全漏洞。

Star Health 聊天機器人是駭客使用此類方法出售被盜資料的更廣泛趨勢的一部分。 NordVPN 2022 年底對疫情進行的最新調查顯示，在透過聊天機器人出售資料的 500 萬人中，印度的受害者人數最多，佔 12%。

NordVPN 網路安全專家 Adrianus Warmenhoven 表示：“透過 Telegram 取得敏感資料是很自然的，因為 Telegram 是一個易於使用的店面。” “Telegram 已成為犯罪分子更容易使用的互動方式。”