客戶信息可追溯至2003年第一次美國金融數據洩露事件
誰負責在軟件應用程序和網站中發現安全漏洞?嗯,有些人在他們的職位描述中有這個任務。他們利用自己豐富的專業知識來檢查數百萬行計算機代碼,了解軟件應用程序的工作原理,並檢查黑客可以利用的任何漏洞。然而,正如First American Financial的IT團隊可以作證的那樣,有時候,那些工作與數據保護無關的人偶然會發現安全失誤。在這個特殊情況下,我們談論的是一位華盛頓房地產開發商,他們寧願保持匿名。
Table of Contents
First American Financial網站的嚴重設計缺陷使人們的數據面臨風險
First American Financial在其網站www.firstam.com上提供了一些極其敏感的文件。當客戶需要訪問某個文檔時,他們可以通過各種不同的渠道獲取URL。
這位未具名的開發人員有一個這樣的URL,出於好奇,他決定略微修改它。按Enter鍵後,瀏覽器加載了一個他本不應該看到的文件。
這是一個讓事情變得清晰的假設例子。您是第一美國金融客戶,除其他外,您已經提供了駕駛執照掃描。您有權查看它,並且您有URL - https://www.firstam.com/dl/100001.jpg 。您將此URL修改為https://www.firstam.com/dl/10000 2 .jpg ,並且您的瀏覽器會加載您未遇到的人的駕駛執照掃描。
如果您考慮First American Financial收集和存儲多少敏感信息,您將看到威脅的嚴重程度。
這個洞很容易導致身份盜竊
正如您所看到的,利用漏洞並訪問屬於其他人的文檔並不困難。安全專家說,在殭屍網絡的幫助下自動抓取信息也是可能的。鑑於易受攻擊的網站上託管的數據的性質,這是個壞消息。
First American Financial無意中曝光了總計8.85億個文件。其中最古老的可以追溯到2003年,但最近有更多文件,其中包括電匯,銀行帳號和報表,抵押和稅務記錄,收據和社會安全號碼。換句話說,暴露的數據可能會在相當大的規模上實現身份盜用。
First American Financial未能盡快做出反應
正如我們已經提到的那樣,設計缺陷是由房地產開發商發現的,幸運的是,他沒有打算竊取某人的身份。相反,他想確保漏洞堵塞,但不幸的是,First American Financial並不是很合作。
他寫道,但他沒有得到回應,他決定除了與Brian Krebs分享他的發現之外別無選擇。當網絡安全記者聯繫時,First American Financial更願意採取行動,暴露的數據最終被脫機. 一位發言人告訴TechCrunch ,該公司正在刪除文件的緩存版本,調查將揭示是否有人訪問和使用暴露的文件用於惡意目的。
所有這一切意味著很難估計洩漏的影響有多大。目前,絕對肯定的一件事是,First American Financial應該在未具名的房地產開發商聯繫它後立即做出反應。
