据外媒报道,财富500强房地产产权保险巨头公司First American Financial Corp.的网站从2003年开始对外泄露了数亿份与抵押贷款交易有关的文件,直到本周才得到来自网络安全公司KrebsOnSecurity的通知。
这些数字化的记录--包括银行账号和对账单、抵押贷款和税务记录、社会安全号码、电汇收据和驾照图像--无需任何网络浏览器的认证就可以获取到。
这家总部位于加州圣安娜的First American是房地产和抵押贷款行业产权保险和结算服务的领先服务供应商。该公司总共雇佣了1.8万名员工,2018年的收入超过了57亿美元。
本周早些时候,一位房地产开发商联系了KrebsOnSecurity。据这位开放商披露,firstam.com的信息泄漏如果说没有达到数亿级别起码也有数千万级别。他称,任何知道网站上有效文档URL的人都可以通过修改链接中的一个数字来查看其他文档。这可能包括任何曾被First American通过电子邮件发送过文档链接的人。
KrebsOnSecurity证实了该开发商提供的线索,这意味着First American的网站泄露了约8.85亿份文件,泄露最早可追溯到16年前。阅读这些文档不需要身份验证。
许多被曝光的文件则是银行帐号的电汇交易记录以及来自房屋或房产买卖双方的其他信息。向KrebsOnSecurity上报了这一数据泄露的开发者Ben Shoval称,First American是房地产产权保险和房地产交易中使用最广泛的公司之一,而买卖双方在交易过程中需要签署一堆的法律文件。
据了解,产权保险代理机构需要从买家和卖家那里收集各种各样的文件,包括社会保险号、驾照、账户对账单,如果是一家小企业,产权保险代理甚至还会收集公司内部文件。很显然,无论是卖家还是买家都希望自己的信息能够得到很好的保护。
针对这一事件,First American方面不愿就其网站上可能曝光的总记录数量或这些记录被公开的时间长短做出评论。不过这家公司的发言人倒是发布了一份声明:“First American了解到一个应用上存在的设计缺陷,这使得其可能未经授权就能访问客户数据。在First American内部,安全、隐私和保密都是放在首位的,我们致力于保护客户的信息。公司已经立即采取行动解决了这一问题并关闭了对该应用的外部访问端口。我们目前正在评估这对客户信息安全造成的影响。在我们的内部审查完成之前,我们不会发表进一步评论。”
尽管如此,First American曝光的信息对所谓的商业电子邮件妥协(BEC)诈骗的钓鱼者和诈骗者来说将是一座虚拟金矿。BEC骗局通常会模仿房地产经纪人、产权公司、托管公司等诱使买房者把钱汇给骗子。