美国房地产保险公司泄露了16年的个人和财务文件

美国房地产保险公司First American Financial 意外泄露了数亿份文件。 该公司拥有超过18,000名员工，2018年收入超过57亿美元。

大约8.85亿份保险相关文件在网上泄露，其中包括电汇细节和财产记录。

这些文件可以追溯到2003年，包括银行账号和对账单、抵押贷款和税务记录、社会保险号码、电汇收据和驾照图片。

这一消息最初是由人气颇高的调查人员Brian Krebs报道的，他是从房地产开发商Ben Shoval那里得知这一消息的。

本周早些时候，华盛顿州的一家房地产开发商联系了参与此次事件的KrebsOnSecurity，他说他很难从该公司得到关于他所发现的事情的回应，该公司的部分网站（First.com）泄露了数以千万甚至上亿的记录信息。Brian Krebs 发表了一篇博客文章：“他说任何知道网站上有效文档网址（URL）的人只要修改链接中的一个数字就可以查看其他文件。”

Shoval 发现文档是通过公司网站在线公开的，任何知道其中一个文档的URL的人都可以查看它，并且只需通过修改链接中的单个数字就可以查看其他文件。

在试图将数据泄露这件事通知给该公司失败之后，开发人员与 Krebs 分享了其发现。

本文撰写期间，First American Financial 已更新其网站并保护了文件。

“我们目前正在评估这件事对客户信息的安全性有什么影响。”一位发言人称。“在我们的内部审核完成之前，我们不会做进一步的评论。”

该公司证实，在2019年5月24日，公司已经得知其生产应用程序中的一个设计缺陷，正是这个缺陷使得未经授权访问大量数据成为可能。

目前尚不清楚这些文件在网上公开了多长时间，但通过查询archive.org网站，可以核实这些文件至少从2017年3月就可以获得。

First Amercian 已经了解到，我们的一个应用程序存在缺陷，这使得未经授权访问客户数据成为可能。在First Amercian ，安全，隐私和保密是最重要的，我们致力于保护我们客户的信息。”这是该公司发给 Krebs 的声明。“公司已经及时采取行动去解决这一问题，并且已关闭该应用程序的外部链接。我们目前正在评估这件事的对客户信息安全性的影响。在内部审核完成之前，我们不会再发表任何评论。“

First American Financial 仍在调查这一件事，同时聘请了一家取证公司来协助调查。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/86164/data-breach/first-american-financial-data-leak.html