Калифорнийский страховщик First American Title Insurance, который непреднамеренно оставил десятки миллионов пользовательских записей доступными в Сети, стал первой компанией, обвиненной Нью-Йоркским департаментом финансовых услуг (Department of Financial Services, DFS) в нарушении правил кибербезопасности.

По словам финансового регулятора, First American Title Insurance небрежно относится к защите своих данных, в результате чего нарушила законы штата о защите непубличной информации. В апреле 2018 года в системах страховщика содержалось около 753 млн документов, 65 млн из которых были помечены как конфиденциальные. В мае 2019 года количество записей возросло до 850 млн. Вся информация находилась в общем доступе в Сети в течение четырех лет из-за уязвимости в системах безопасности.

По крайней мере с октября 2014 года по май 2019 года из-за уязвимости на общедоступном веб-сайте First American практически любой пользователь мог получить доступ к персональным данным, включая номера банковских счетов и выписки, записи об ипотеке и налогах, номера социального страхования, квитанции об оплате транзакций и изображения водительских прав.

Документы содержались в базе данных FAST компании First American Title Insurance. Как сообщается в обвинении, утечка данных произошла в 2014 году из-за уязвимости в программном обеспечении EaglePro для обмена документами с FAST по электронной почте с клиентами. Уязвимость могла быть проэксплуатирована для просмотра любого изображения в системе — документы, отправленные через EaglePro, отображались с URL-адреса с параметром ImageDocumentID, который можно изменить на любое другое значение и получить доступ к документам других пользователей без проверки авторизации.

Компания знала об этой уязвимости в программном обеспечении на протяжении шести месяцев, однако не сделала ничего, чтобы решить данную проблему.

Источник: securitylab.ru