布莱恩·克雷布斯透露,一家主要从事房地产保险工作的公司已经在其网站上留下了多达8.85亿条记录 - 可追溯到2003年。第一美国金融公司的大错误应该对任何愿意给予第二名的人显而易见想到安全。如果您的网站上有任何文档的URL,您只需在URL中的一个数字中添加或减去一个URL即可访问另一个文档。
鉴于该公司所处的业务类型,这些记录包括令人难以置信的私人信息。克雷布斯采访了Ben Shoval,他引起了他的注意,他说这些文件可能包括“社会安全号码,驾驶执照,账户报表,甚至内部公司文件,如果你是一家小企业”。
截至今天,该公司已经关闭了其网站安全漏洞。现在,我们无法知道是否有人真正利用了此漏洞。与这些类型的数据暴露披露通常如何相反,First American Financial甚至没有说它没有证据表明记录被访问过。在给克雷布斯的一份声明中,这就是它所说的内容(以下重点是我们的):
First American已经了解了应用程序中的设计缺陷,该缺陷使得未经授权的客户数据访问成为可能。在First American,安全,隐私和保密是我们的首要任务,我们致力于保护客户的信息。该公司立即采取行动解决这一问题,并关闭对该应用程序的外部访问。我们目前正在评估这对客户信息的安全性有何影响。在内部审核完成之前,我们不会再发表任何评论。
今天下午,First American向The Verge提供了第二份声明,并补充说它聘请了第三方法医公司,以查明是否有人可能访问过这些记录。
5月24日,First American在其中一个生产应用程序中了解到设计缺陷,这些应用程序可能会对未经授权的客户数据进行访问。安全,隐私和保密是最重要的,我们致力于保护客户的信息。
因此,该公司立即采取行动解决这一问题,并关闭对该应用程序的外部访问。我们目前正在评估这对客户信息的安全性有何影响。我们聘请了一家外部法证公司向我们保证,我们的客户数据没有任何有意义的未经授权的访问权限。
很多私有数据实际上可以在没有密码保护的URL后面访问,但仍然保持相对安全,因为它们的URL很复杂且不可思议。例如,Google相册以这种方式共享图片。但是,即使您认为First American Financial在没有密码的情况下提供文档是一种很好的做法,但要使这些URL变得如此容易猜测仍然是非常短视的。
克雷布斯将这种数据暴露描述为“真正庞大的 - 可能是最高级的”,并且记录的数量和它们所包含的敏感信息肯定支持了这些数据。
我们已与First American Financial联系以获得进一步评论,但目前尚不清楚人们可以采取哪些措施来检查他们的数据是否泄露。您可以在Krebs on Security上找到有关曝光的更多信息。
免责声明:本文由用户上传,如有侵权请联系删除!