2019年5月，KrebsOnSecurity爆出了新闻，抵押贷款产权保险巨头“第一美国金融公司”（First American Financial Corp.）的网站已披露了约8.85亿笔与抵押贷款交易有关的记录，可追溯到2003年。星期三，纽约的监管机构宣布，“第一美国金融公司”成为目标与该事件有关的首次网络安全执法行动中，可能会受到严厉的罚款。

第一美国金融公司

总部位于加利福尼亚州圣安娜的  First American Financial [ NYSE：FAF ]是为房地产和抵押贷款行业提供产权保险和结算服务的领先提供商。它拥有约18,000名员工，2019年创造了62亿美元的收入。

正如去年在此首次报道的那样，“第一美国金融公司”的网站公开了16年的数字化抵押所有权保险记录，包括银行帐号和对帐单、抵押和税收记录、社会保险号、电汇记录和驾驶执照图像。

使用Web浏览器的任何人都无需身份验证即可获得这些文档。

根据纽约州金融服务部（DFS）的文件（PDF），暴露文件的弱点是在2014年5月应用程序软件更新期间首次引入的，多年来一直未被发现。

DFS发现，更糟糕的是，该漏洞是在“第一美国金融公司”在2018年12月自行进行的渗透测试中发现的。

“值得注意的是，被投诉，而不是让数以百万计的客户对6个月时间，直到违约及其严重的后果由国家认可的网络安全行业的记者受到广泛关注的个人和财务数据的自由访问”的DFS在解释声明中的收费。

“第一美国金融公司”的网站公开的数百万敏感记录之一的编辑过的屏幕截图。

路透社报道称，对“第一美国金融公司”而言，处罚可能是重大的：DFS认为暴露的个人信息的每个实例都是单独的违规，该公司每次违规将面临高达1,000美元的罚款。

“第一美国金融公司”在一份书面声明中表示强烈不同意DFS的调查结果，并且其自身的调查确定，只有“非常有限”的消费者（没有来自纽约的消费者）未经允许访问了个人数据。

该公司在2019年8月表示，对该暴露进行的第三方调查  仅发现了32位可能未经授权访问其非公开个人信息的消费者。

当KrebsOnSecurity去年询问其维护访问日志的时间或审查的时间有多远时，“第一美国金融公司”拒绝透露具体细节，只说其日志涵盖了一家规模和性质的公司所典型的时期。

但在周三的文件中，DFS说“第一美国金融公司”无法确定是否在2018年6月之前访问了记录。

DFS发现：“受访者的法医调查基于对自2018年6月起保留的网络日志的审查”。受访者自己的分析表明，在这11个月的时间内，旨在收集Internet信息的自动化“机器人”或“抓取工具”程序未经授权访问了350,000多个文档。

“第一美国金融公司”暴露的记录本来是网络钓鱼者和诈骗者的虚拟金矿，涉及所谓的“企业电子邮件妥协”（BEC）骗局，这些骗局通常会冒充房地产经纪人，关闭代理机构，产权和代管公司，以欺骗房地产买家向欺诈者汇款。根据FBI的调查，BEC诈骗是当今最昂贵的网络犯罪形式。

在此公布其数据泄漏的消息的第二天，“第一美国金融公司”的股价就下跌了6％以上。在随后的日子里，DFS和美国证券交易委员会分别宣布他们正在调查该公司。

“第一美国金融公司”今天发布了2020年第一季度收益。DFS指控的指控的听证会定于10月26日举行。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• 大量数据泄露意味着现在是时候以数据为中心的安全了

• 十大移动应用程序安全威胁：保护您的数据免受潜在风险

• 2023年4月，全球重大数据泄露事件

• Thales 2023数据威胁报告：主权、转型和全球挑战