据外媒报道,2019年5月,KrebsOnSecurity爆料称,抵押贷款产权保险巨头First American Financial Corp.的网站暴露了大约8.85亿条与抵押贷款交易相关的记录,这些记录可以追溯到2003年。周三,纽约的监管机构宣布,First American公司是他们有史以来第一次与该事件有关的网络安全执法行动的目标,这些指控可能会带来巨额的经济处罚。
总部位于加州圣安娜市的First American公司是一家为房地产和抵押贷款行业提供产权保险和结算服务的领先供应商。该公司拥有约18000名员工,在2019年带来了62亿美元的收入。外媒去年曾报道称,First American公司的网站曝光了可追溯到16年前的数字化抵押产权保险记录--包括银行账户号码和报表、抵押贷款和税收记录、社会安全号码、电汇交易收据和驾驶执照图像。
任何有网络浏览器的人都可以在没有认证的情况下获得这些文件。
根据纽约州金融服务部(DFS)的一份文件,暴露这些文件的漏洞是在2014年5月应用软件更新时首次引入的,多年来一直未被发现。更糟糕的是,DFS发现,该漏洞是在2018年12月第一美国公司自行进行的渗透测试中发现的。
“值得注意的是,受访者反而允许其数百万客户的个人和财务数据不受限制地访问了六个月,直到该漏洞及其严重后果被一位全国知名的网络安全行业记者广泛宣传,”DFS在一份关于指控的声明中解释道。
路透社报道称,监管机构对First American司进行处罚的可能性很大。DFS认为每一次暴露个人信息都是一次单独的泄露行为,该公司面临的处罚是每一次违规最高1000美元。
480c8696d68fa350a5f9.jpg" />
First American司在一份书面声明中表示,它坚决不同意DFS的调查结果,它自己的调查确定只有 "非常有限的 "消费者--而且没有一个来自纽约的消费者--在未经许可的情况下访问了个人数据。
2019年8月,该公司表示,第三方对该曝光事件的调查仅确定了32名消费者的非公开个人信息可能在未经授权的情况下被访问。
当KrebsOnSecurity去年询问它维护了多长时间的访问日志或该审查的时间有多远时,First American拒绝更具体地说明,只说它的日志涵盖了一个时期,这对其规模和性质的公司来说是典型的。
但在周三的文件中,DFS表示,First American无法确定2018年6月之前的记录是否被访问。“被告的取证调查依赖于对2018年6月以后保留的网络日志的审查,”DFS发现。“答辩人自己的分析表明,在这11个月期间,超过35万份文件在未经授权的情况下被旨在收集互联网信息的自动‘机器人’或‘爬虫’程序访问。”
First American公司曝光的记录对于参与所谓的商业电子邮件诈骗(BEC)的网络钓鱼者和诈骗者来说是一个虚拟的金矿,这种诈骗通常会冒充房地产经纪人、过户机构、产权和托管公司,以欺骗房产买家将资金汇给诈骗者。根据FBI的数据,BEC诈骗是当今代价最高的网络犯罪形式。
First American的股价在他们的数据泄露消息公布后的第二天就下跌了超过6%。在随后的几天里,DFS和美国证券交易委员会分别宣布对该公司进行调查。
First American周四发布了2020年第一季度财报。关于DFS指控的听证会定于10月26日举行。返回搜狐,查看更多
责任编辑: