En mai 2019, BreachTrace a annoncé que le site Web du géant du règlement hypothécaire First American Financial Corp. [NYSE:FAF] divulguait plus de 800 millions de documents – dont beaucoup contenaient des données financières sensibles – liés à des transactions immobilières datant de 16 ans. Cette semaine, le Commission américaine des valeurs mobilières et des échanges a réglé son enquête sur l’affaire après que la société Fortune 500 a accepté de payer une amende dérisoire de moins de 500 000 $.
First American Financial Corp.
Si vous avez acheté ou vendu une propriété au cours des deux dernières décennies, il y a de fortes chances que vous ayez également donné de nombreux documents personnels et financiers à First American. Selon Les données du Association américaine des titres fonciersFirst American est la deuxième plus grande société de titres et de règlements hypothécaires aux États-Unis, gérant près d’un quart de toutes les clôtures chaque année.
La SEC affirme que First American tire près de 92% de ses revenus de son segment d’assurance titres, gagnant 7,1 milliards de dollars l’année dernière.
L’assurance titres protège les acheteurs de la perspective que quelqu’un conteste leur légitimité en tant que nouveau propriétaire. Selon SimpleShowing.comil y a en fait deux polices d’assurance titres dans chaque transaction – une pour l’acheteur et une pour le prêteur (ce dernier a également besoin d’une protection car il fournit l’hypothèque pour acheter la maison).
L’assurance titres n’est pas obligatoire par la loi, mais la plupart des prêteurs l’exigent dans le cadre de toute transaction hypothécaire. En d’autres termes, si vous souhaitez contracter une hypothèque sur une maison, vous ne pourrez pas le faire sans donner à des entreprises comme First American des tonnes de documents sur vos revenus, vos actifs et vos passifs, y compris un certain nombre de données financières sensibles.
Outre sa compétence commerciale principale – vérifier que la propriété en cause dans toute transaction immobilière n’est pas grevée de privilèges ou d’autres réclamations légales à son encontre – First American a essentiellement un travail : protéger la confidentialité et la sécurité de tous ces documents.
Une capture d’écran expurgée de l’un des nombreux millions d’enregistrements sensibles exposés par le site Web de First American.
Il est facile de comprendre pourquoi des entreprises comme First American pourraient ne pas considérer la protection de ces données comme sacro-sainte, car l’incitation de l’ensemble du secteur à protéger tous ces documents sensibles est quelque peu mal alignée.
C’est-à-dire que dans l’industrie de l’assurance titres, les parties à une transaction immobilière ne sont pas des clients, mais plutôt ils sont le produit. Les véritables clients des sociétés d’assurance titres sont principalement les banques qui garantissent ces transactions hypothécaires.
Nous observons une dynamique similaire avec les plateformes de médias sociaux, où « l’utilisateur » n’est pas du tout le client mais le produit dont les données sont achetées et vendues par ces plateformes.
Environ cinq mois avant que BreachTrace n’informe First American que toute personne disposant d’un navigateur Web pouvait afficher en ligne des documents sensibles dans sa base de données « Eagle Pro » en changeant simplement certains caractères à la fin d’un lien, un audit de sécurité interne de First American a signalé exactement la même vulnérabilité. .
Mais l’entreprise n’a jamais agi pour le réparer jusqu’à ce que les médias l’appellent.
La SEC procédure administrative (PDF) explique comment les choses sont passées entre les mailles du filet. Selon les politiques documentées de correction des vulnérabilités de First American, la fuite de données a été classée comme une faiblesse de sécurité avec une gravité de « niveau 3 », ce qui l’a placée dans la catégorie « risque moyen » et a nécessité une correction dans les 45 jours.
Mais plutôt que d’enregistrer la vulnérabilité comme une gravité de niveau 3, en raison d’une erreur d’écriture, la vulnérabilité a été saisie par erreur comme une gravité de niveau 2 ou « à faible risque » dans le système de suivi automatisé de First American. Les problèmes de niveau 2 nécessitaient une résolution dans les 90 jours. Même ainsi, First American a raté cette cible.
La SEC a déclaré qu’en vertu des politiques de remédiation de First American, si la personne responsable de la résolution du problème n’est pas en mesure de le faire sur la base des délais indiqués ci-dessus, cet employé doit demander à sa direction de contacter le service de sécurité de l’information de l’entreprise pour discuter de son plan de remédiation et du temps proposé. estimation.
« S’il n’est pas techniquement possible de remédier à la vulnérabilité, ou si la correction est d’un coût prohibitif, le [employee] et leur direction doit contacter la sécurité de l’information pour obtenir une dérogation ou une approbation d’acceptation des risques du CISO », a expliqué la SEC. « Le [employee] n’a pas demandé de dérogation ou d’acceptation des risques au RSSI. »
Alors, quelqu’un au sein de First American a accepté le risque, mais cette personne a négligé de s’assurer que les plus hauts gradés de l’entreprise étaient également à l’aise avec ce risque. Il est difficile de ne pas fredonner chaque fois que l’expression « accepté le risque » revient si vous avez déjà vu cette excellente parodie de l’industrie infosec.
La SEC a visé First American parce que quelques jours après la publication de notre article du 24 mai 2019, la société a publié un dossier 8-K auprès de l’agence indiquant que First American n’avait aucune indication préalable de vulnérabilité.
« Cette déclaration a démontré que la haute direction de First American n’était pas correctement informée du rapport précédent d’une vulnérabilité et d’un échec à résoudre le problème », a écrit Michel Volkovun procureur fédéral de 30 ans qui dirige maintenant Le groupe juridique Volkov à Washington, D.C.
Rapports pour Veille réglementaire Reuters, Richard Satran dit que la SEC a accusé First American d’avoir enfreint Règle 13a-15(a) de l’Exchange Act.
« La règle exige généralement que les entreprises impliquées dans l’émission de titres aient mis en place un processus de conformité pour garantir que les informations importantes respectent les lois sur les valeurs mobilières », a écrit Satran. « La SEC a évité d’entrer dans les détails spécifiques de la violation et s’est plutôt concentrée sur la manière dont sa divulgation a été gérée. »
Marc Rachégalement ancien procureur fédéral à Washington, a déclaré que la SEC signalait par cette action qu’elle avait l’intention de prendre en charge davantage d’affaires dans lesquelles les entreprises contournent de manière importante la gouvernance de la sécurité.
« C’est une victoire pour la SEC et pour First America, mais ce n’est pas juste », a déclaré Rasch. « C’est une amende dérisoire, et cela n’implique aucun aveu de culpabilité par First American. »
Rasch a déclaré que le premier problème de First American était de qualifier la faiblesse de risque moyen.
« Il s’agit de nombreuses données sensibles que vous exposez à toute personne disposant d’un navigateur Web », a déclaré Rasch. « C’est une vulnérabilité à haut risque. Cela signifie également que vous ne savez probablement pas si quelqu’un a accédé ou non à ces données. Il n’y a aucun moyen de le savoir à moins de pouvoir parcourir tous vos journaux de bord pendant toutes ces années.
La SEC a déclaré que plus de 800 millions d’enregistrements étaient accessibles au public sur le site Web de First American depuis 2013. En août 2019, la société a déclaré qu’une enquête indépendante sur l’exposition n’avait identifié que 32 consommateurs dont les informations personnelles non publiques avaient probablement été consultées sans autorisation.
Lorsque BreachTrace a demandé combien de temps il conservait les journaux d’accès ou jusqu’où remonte cet examen, First American a refusé d’être plus précis, affirmant seulement que ses journaux couvraient une période typique pour une entreprise de sa taille et de sa nature.
Cependant, des documents des régulateurs financiers de New York montrent que First American n’a pas été en mesure de déterminer si les enregistrements ont été consultés avant juin 2018 (un an avant de corriger la faiblesse).
Les dossiers exposés par First American auraient été une mine d’or virtuelle pour les hameçonneurs et les escrocs impliqués dans les escroqueries de compromis par courrier électronique professionnel (BEC), qui se font souvent passer pour des agents immobiliers, des agences de fermeture, des sociétés de titres et d’entiercement dans le but de tromper les acheteurs immobiliers dans le câblage. des fonds aux fraudeurs. Selon le FBI, les escroqueries BEC sont aujourd’hui la forme de cybercriminalité la plus coûteuse.
First American n’est pas encore sorti du bois réglementaire à cause de cette énorme fuite de données. En juillet 2020, le Département des services financiers de l’État de New York a annoncé que la société était la cible de sa toute première action d’application de la loi en matière de cybersécurité en rapport avec l’incident, des accusations qui pourraient entraîner de lourdes sanctions financières. Cette enquête est en cours.
Le DFS considère chaque cas d’informations personnelles exposées comme une violation distincte, et l’entreprise encourt des sanctions pouvant aller jusqu’à 1 000 $ par violation. Selon la SEC, la base de données EaglePro de First American contenait des dizaines de millions d’images de documents contenant des informations personnelles non publiques.