🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Desastre do seguro Starhealth: guerra de informações usando evidências fabricadas

Em 20 de setembro de 2024, o xVigil da CloudSEK descobriu o agente de ameaças “XenZen” vendendo 7 TB de dados da Star Health Insurance, impactando mais de 31 milhões de clientes. Embora os dados sejam confirmados como autênticos, as alegações de envolvimento interno do CISO da empresa parecem fabricadas.
September 24, 2024
3
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Categoria: Inteligência do adversário | Indústria: Seguro | Motivação: Financeiro e geopolítico | Região: Índia/Ásia e Pacífico | Fonte*: D3

Sumário executivo

Em 20 de setembro de 2024, a plataforma xVigil da CloudSEK descobriu um agente de ameaças, “XenZen”, vendendo 7 TB de dados confidenciais da Star Health Insurance. Os dados vazados incluem detalhes pessoais e de saúde de mais de 31 milhões de clientes e pedidos de seguro de quase 6 milhões de pessoas. “XenZen” afirma ter adquirido os dados do CISO da Star Health e criado um site e bots do Telegram para compartilhar amostras, que parecem legítimas.

Embora a autenticidade dos dados seja confirmada com alta confiança, o envolvimento do CISO e de outros executivos parece fabricado. Este artigo mostra possíveis cadeias de ataque, bem como métodos de fabricação usados por “XenZen”, que também tem um histórico de violações de dados e pode ter motivos geopolíticos além do ganho financeiro.

Análise e atribuição

Informações do Post

  • Em 20 de setembro de 2024, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças com o apelido de “XenZen” vendendo acesso a mais de 7 TB de dados obtidos da Star Health Insurance, uma empresa multinacional indiana de seguros de saúde com sede em Chennai.

Postagem de “XenZen” sobre a venda de dados obtidos da Star Health Insurance

O ator mencionou na postagem que as seguintes informações vazaram

Vazamento de dados do cliente

31.216.953 clientes (dados até julho de 2024)

  • Nome completo
  • PAN No.
  • Número do celular
  • E-mail
  • Data de nascimento
  • Endereço residencial
  • Data de nascimento do segurado
  • Nome do segurado
  • Gênero
  • Doença pré-existente
  • Número da apólice
  • Cartão de saúde
  • Nome do candidato
  • Idade do candidato
  • % de reivindicação do candidato
  • Relação com o candidato
  • Altura segurada
  • Peso
  • IMC e muito mais

Vazamento de dados de reivindicações de seguros

5.758.425 reclamações (dados até o início de agosto de 2024)

  • Foto do cartão Aadhaar
  • Foto do cartão PAN
  • Relatórios médicos/de saúde detalhados
  • Endereço residencial
  • Detalhes de contato
  • Detalhes da reclamação de seguro
  • Detalhes do valor e muito mais

O ator da ameaça reivindicações que eles compraram os dados diretamente do CISO da Star Health. Para estabelecer a autenticidade dessas alegações, o agente da ameaça se esforçou e criou um site (protegido por cloudflare) dedicado aos dados vazados da Star Health Insurance. O site foi registrado em agosto de 2024, após a suposta conversa com o CISO da empresa.

O agente da ameaça criou 2 bots de telegrama para a disseminação das amostras de dados de clientes e seguros para um público mais amplo. A análise indica que as amostras de dados são legítimas e pertencem à empresa-alvo.

Tentativas desesperadas de fazer com que os executivos pareçam ruins?

  • O ator da ameaça enviou um vídeo para essa violação em seu site dedicado, alegando que eles estavam discutindo com o CISO e a gerência sênior sobre a compra desses dados, da própria empresa. No entanto, o agente da ameaça não o fez: algum texto
    • Mostrar o cabeçalho completo do e-mail
    • Atualize a página
Trecho do vídeo compartilhado por “XenZen” alegando que o CISO interagiu diretamente com eles

Por outro lado, no vídeo compartilhado pelo ator da ameaça, vimos

  • Casos em que o CISO supostamente está usando seu e-mail corporativo para discutir a venda com o agente da ameaça.
  • Casos em que o CISO está falando (grosseiramente) sobre o envolvimento de executivos seniores nessa violação.
  • Instâncias em que o CISO está gerenciando o acesso à API fornecido ao agente da ameaça
Analyst Note -
  1. The threat actor has shared two simultaneous chats between star health and himself, the left side of the screen is TOX which is a P2P messaging platform used primarily for anonymity. On the right however are emails allegedly originating from the official email which is highly unlikely. This can be done by a simple trick as "inspect element" function and altering the HTML code to make it look like the email originated from official channels
  2. The credentials allegedly shared by the CISO to the Threat Actor to access the API are part of a separate credential breach on the darkweb
  3. It is likely that the threat actor used the publicly available credentials and exploited an IDOR vulnerability in the API subsequently dumped data
  4. The threat actor belongs to China and has had geopolitical motives to create chaos and spread disinformation among Indian masses

Com base nas informações disponíveis, podemos verificar com alta confiança que o agente da ameaça tem dados provenientes da Star Health Insurance. No entanto, o envolvimento do CISO e de outros executivos parece altamente improvável e fabricado, para dizer o mínimo.

Atividade e classificação do ator de ameaças

Threat Actor Profiling
Active since June 2024
Reputation 30 [Automated reputation received upon buying a rank on Breachforums]
Current Status ACTIVE
History's The threat actor claims to be from China and has a history of spreading propaganda. Previously, the threat actor claimed to have compromised Airtel's servers and claimed responsibility for that data breach. However, our investigation revealed that the data samples could be found in the Indian Telecom Leak that happened in December 2023. The threat actor has previously claimed to have sold data originating from the Indian Ministry of External Affairs about Diplomatic Passport Holders, and is known for marking overpriced selling threads as sold. While the apparent motivation of the threat actor may seem to be financial, the Airtel case adds a geopolitical angle to the threat actor's motivations.
Previous Targets
  • Airtel(Debunked)
  • Ministry of External Affairs(Unverified)
Tactics
  • Is known to spread disinformation
  • Marks potentially unsold data as sold on the forum to create more reputation
Rating Medium

Impacto

  • Informações pessoais e confidenciais de saúde de mais de 31 milhões de clientes, incluindo registros médicos, números PAN e detalhes de Aadhaar, vazaram, gerando riscos de privacidade e segurança.
  • A violação corrói a confiança do cliente, prejudicando a imagem da marca Star Health e levantando preocupações sobre as práticas de proteção de dados da empresa.
  • A Star Health pode enfrentar penalidades regulatórias, ações judiciais e perdas financeiras devido à não conformidade com as leis de proteção de dados (por exemplo, GDPR, Lei de Proteção de Dados da Índia).

Mitigações

  • Monitore continuamente as credenciais vazadas que abrem uma superfície de ataque completamente diferente e valide essas credenciais em sua infraestrutura. A plataforma CloudSEK xVigil faz isso para nossos clientes hoje.
  • Testes de API rigorosos e frequentes devem ser feitos para verificar falhas de exposição de dados. A empresa CloudSEK Bevigil faz isso.
  • Implemente detecção comportamental/limitação de taxa e MFA em endpoints de login de clientes, bem como para evitar ataques de preenchimento de credenciais
  • Implemente criptografia robusta para dados armazenados e transmitidos, juntamente com auditorias de segurança regulares para identificar vulnerabilidades.
  • Fortaleça o gerenciamento de acesso, incluindo a limitação do acesso privilegiado à conta e a implementação da autenticação multifator (MFA) para todos os funcionários e terceiros. Fique atento às ameaças internas.
  • Inicie um plano sólido de resposta a incidentes, incluindo o envolvimento de agentes de ameaças e a notificação dos clientes afetados, oferecendo serviços de proteção contra roubo de identidade e colaborando com as autoridades para investigar a violação.

Referências

Apêndice

Site dedicado criado pelo agente da ameaça para ganhar destaque sobre essa violação

Site dedicado criado pelo agente da ameaça para ganhar destaque sobre essa violação

CloudSEK TRIAD
CloudSEK Threat Research and Information Analytics Division
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais