2019年XNUMX月、KrebsOnSecurityは住宅ローンのタイトル保険大手のウェブサイトが ファーストアメリカンファイナンシャルコーポレーション。 885年にさかのぼる住宅ローン取引に関連する約2003億XNUMX万件の記録を公開しました。水曜日に、ニューヨークの規制当局は、First Americanが事件に関連する初めてのサイバーセキュリティ執行措置の対象であると発表しました。
ファーストアメリカンファイナンシャルコーポレーション。
カリフォルニア州サンタアナに本拠を置く 最初のアメリカ人 [NYSE:FAF]は、不動産および住宅ローン業界向けのタイトル保険および決済サービスの大手プロバイダーです。 約18,000人を雇用し、 6.2で$ 2019億.
As 昨年ここで最初に報告された、First Americanのウェブサイトでは、銀行口座番号と明細書、住宅ローンと税の記録、社会保障番号、電信送金の領収書、運転免許証の画像など、デジタル化された16年分の住宅ローンのタイトルの保険記録が公開されていました。
これらのドキュメントは、Webブラウザを持っている人なら誰でも認証なしで利用できました。
による ファイリング (PDF) ニューヨーク州金融局 (DFS)、ドキュメントを公開した弱点は、2014年XNUMX月のアプリケーションソフトウェアの更新時に初めて導入され、何年もの間検出されなくなりました。
さらに悪いことに、DFSが発見した脆弱性は、2018年XNUMX月にファーストアメリカンが独自に実施した侵入テストで発見されました。
「驚くべきことに、違反者とその深刻な影響が全国的に認められたサイバーセキュリティ業界のジャーナリストによって広く公表されるまで、回答者は何百万もの顧客の個人データと財務データへの自由なアクセスをさらにXNUMXか月間許可しました」とDFSは説明しました ステートメント 料金について。
First AmericanのWebサイトで公開された何百万もの機密レコードのXNUMXつを編集したスクリーンショット。
ロイター通信社 レポート First Americanにとってペナルティは重大である可能性がある:DFSは公開された個人情報の各インスタンスを個別の違反と見なし、会社は違反ごとに最大1,000ドルのペナルティに直面します。
First Americanは書面の声明で、DFSの調査結果に強く反対し、独自の調査では「非常に限られた数の」消費者のみが判断し、ニューヨークの消費者は個人データに無断でアクセスしたと判断しました。
2019年XNUMX月、同社はこの暴露に関する第三者調査 32人の消費者のみを特定 非公開の個人情報が許可なしにアクセスされた可能性があります。
KrebsOnSecurityが昨年、アクセスログをどれくらいの期間維持したか、またはそのレビューがどこまでさかのぼったかを尋ねたところ、First Americanは、そのログがその規模と性質の企業にとって典型的な期間をカバーしていたとだけ述べて、より具体的には明かしませんでした。
しかし、水曜日のファイリングで、DFSはFirst Americanが2018年XNUMX月より前にレコードがアクセスされたかどうかを判断できなかったと述べました。
「回答者の法医学的調査は、2018年11月以降に保持されたWebログのレビューに依存していました」とDFSは発見しました。 「回答者自身の分析によると、この350,000か月の間に、インターネット上で情報を収集するように設計された自動化された「ボット」または「スクレイパー」プログラムによって、許可なしにXNUMXを超えるドキュメントがアクセスされました。
First Americanによって公開された記録は、いわゆるビジネスEメール侵害(BEC)詐欺に関与するフィッシャーと詐欺師にとって、事実上の金鉱でした。 不動産購入者をだまして、詐欺師に資金を配線する。 FBIによれば、BEC詐欺は今日、最も費用のかかるサイバー犯罪の形態です。
彼らのデータ漏洩のニュースがここに発表された後、最初のアメリカ人の株価はその日6%以上下落しました。 その後の数日間、DFSと 米国証券取引委員会 それぞれが会社を調査していると発表した。
最初のアメリカ人がリリースされました 今日の2020年第XNUMX四半期の収益。 DFSが主張している容疑についての公聴会は26月XNUMX日に予定されています。
タグ: ファーストアメリカンファイナンシャルコーポレーション。, ニューヨーク州金融局, ロイター通信社
出典:https://krebsonsecurity.com/2020/07/ny-charges-first-american-financial-for-massive-data-leak/
