客户信息可追溯至2003年第一次美国金融数据泄露事件

谁负责在软件应用程序和网站中发现安全漏洞？嗯，有些人在他们的职位描述中有这个任务。他们利用自己丰富的专业知识来检查数百万行计算机代码，了解软件应用程序的工作原理，并检查黑客可以利用的任何漏洞。然而，正如First American Financial的IT团队可以作证的那样，有时候，那些工作与数据保护无关的人偶然会发现安全失误。在这个特殊情况下，我们谈论的是一位华盛顿房地产开发商，他们宁愿保持匿名。

First American Financial网站的严重设计缺陷使人们的数据面临风险

First American Financial在其网站www.firstam.com上提供了一些极其敏感的文件。当客户需要访问某个文档时，他们可以通过各种不同的渠道获取URL。

这位未具名的开发人员有一个这样的URL，出于好奇，他决定略微修改它。按Enter键后，浏览器加载了一个他本不应该看到的文件。

这是一个让事情变得清晰的假设例子。您是第一美国金融客户，除其他外，您已经提供了驾驶执照扫描。您有权查看它，并且您有URL - https://www.firstam.com/dl/100001.jpg 。您将此URL修改为https://www.firstam.com/dl/10000 2 .jpg ，并且您的浏览器会加载您未遇到的人的驾驶执照扫描。

如果您考虑First American Financial收集和存储多少敏感信息，您将看到威胁的严重程度。

这个洞很容易导致身份盗窃

正如您所看到的，利用漏洞并访问属于其他人的文档并不困难。安全专家说，在僵尸网络的帮助下自动抓取信息也是可能的。鉴于易受攻击的网站上托管的数据的性质，这是个坏消息。

First American Financial无意中曝光了总计8.85亿个文件。其中最古老的可以追溯到2003年，但最近有更多文件，其中包括电汇，银行帐号和报表，抵押和税务记录，收据和社会安全号码。换句话说，暴露的数据可能会在相当大的规模上实现身份盗用。

First American Financial未能尽快做出反应

正如我们已经提到的那样，设计缺陷是由房地产开发商发现的，幸运的是，他没有打算窃取某人的身份。相反，他想确保漏洞堵塞，但不幸的是，First American Financial并不是很合作。

他写道，但他没有得到回应，他决定除了与Brian Krebs分享他的发现之外别无选择。当网络安全记者联系时，First American Financial更愿意采取行动，暴露的数据最终被脱机. 一位发言人告诉TechCrunch ，该公司正在删除文件的缓存版本，调查将揭示是否有人访问和使用暴露的文件用于恶意目的。

所有这一切意味着很难估计泄漏的影响有多大。目前，绝对肯定的一件事是，First American Financial应该在未具名的房地产开发商联系它后立即做出反应。