Le site Web du géant de l’assurance titres immobilier Fortune 500 First American Financial Corp. [NYSE:FAF] a divulgué des centaines de millions de documents liés à des transactions hypothécaires remontant à 2003, jusqu’à ce qu’ils soient notifiés cette semaine par BreachTrace. Les dossiers numérisés – y compris les numéros de compte bancaire et les relevés, les dossiers hypothécaires et fiscaux, les numéros de sécurité sociale, les reçus de transaction par câble et les images de permis de conduire – étaient disponibles sans authentification pour toute personne disposant d’un navigateur Web.

First American Financial Corp. Image : Linkedin.
Basé à Santa Ana, en Californie Premier Américain est l’un des principaux fournisseurs d’assurance titres et de services de règlement aux secteurs de l’immobilier et des prêts hypothécaires. Elle emploie quelque 18 000 personnes et a fait venir plus de 5,7 milliards de dollars en 2018.
Plus tôt cette semaine, BreachTrace a été contacté par un promoteur immobilier de l’État de Washington qui a déclaré qu’il avait eu peu de chance d’obtenir une réponse de la société sur ce qu’il avait découvert, à savoir qu’une partie de son site Web (firstam.com) fuyait des dizaines, voire des centaines de millions d’enregistrements. Il a déclaré que toute personne connaissant l’URL d’un document valide sur le site Web pouvait afficher d’autres documents simplement en modifiant un seul chiffre dans le lien.
Et cela inclurait potentiellement toute personne à qui un lien de document a déjà été envoyé par e-mail par First American.
BreachTrace a confirmé les conclusions du promoteur immobilier, qui indiquent que le site Web de First American a exposé environ 885 millions de fichiers, le plus ancien remontant à plus de 16 ans. Aucune authentification n’était requise pour lire les documents.
De nombreux fichiers exposés sont des enregistrements de transactions télégraphiques avec des numéros de compte bancaire et d’autres informations provenant d’acheteurs et de vendeurs de maisons ou de biens. Ben Shovalle développeur qui a informé BreachTrace de l’exposition des données, a déclaré que c’est parce que First American est l’une des sociétés les plus utilisées pour l’assurance des titres immobiliers et pour la conclusion de transactions immobilières – où les deux parties à la vente se rencontrent dans une pièce et signent des piles de documents juridiques.
« Les agences de fermeture sont censées être la seule partie neutre qui ne représente pas les intérêts de quelqu’un d’autre, et vous devez avoir une assurance titres si vous avez un type d’hypothèque », a déclaré Shoval.
« L’agence d’assurance titres recueille toutes sortes de documents de l’acheteur et du vendeur, y compris les numéros de sécurité sociale, les permis de conduire, les relevés de compte et même les documents internes de l’entreprise si vous êtes une petite entreprise. Vous leur donnez toutes sortes d’informations privées et vous vous attendez à ce qu’elles restent privées.”
Shoval a partagé un lien de document qui lui avait été donné par First American lors d’une transaction récente, qui faisait référence à un numéro d’enregistrement de neuf chiffres et daté d’avril 2019. La modification du numéro de document dans son lien par des numéros dans les deux sens a donné les enregistrements d’autres personnes. avant ou après la même date et heure, indiquant que les numéros de document peuvent avoir été délivrés de manière séquentielle.
Le premier numéro de document disponible sur le site – 000000075 – faisait référence à une transaction immobilière de 2003. À partir de là, les dates sur les documents se rapprochent du temps réel à chaque incrément dans le numéro d’enregistrement.

Une capture d’écran expurgée de l’un des nombreux millions d’enregistrements sensibles exposés par le site Web de First American.
Au matin du 24 mai, firstam.com renvoyait des documents jusqu’à aujourd’hui (plus de 885 000 000), y compris de nombreux PDF et formulaires postdatés pour les fermetures immobilières à venir. À 14 h HE vendredi, la société avait désactivé le site qui servait les enregistrements. On ne sait pas encore combien de temps le site est resté dans son état de promiscuité, mais archive.org montre des documents disponibles sur le site datant d’au moins mars 2017.
First American n’a pas voulu commenter le nombre total d’enregistrements potentiellement exposés via son site, ni la durée pendant laquelle ces enregistrements étaient accessibles au public. Mais un porte-parole de la société a partagé la déclaration suivante :
« First American a pris connaissance d’un défaut de conception dans une application qui a rendu possible un accès non autorisé aux données des clients. Chez First American, la sécurité, la vie privée et la confidentialité sont de la plus haute priorité et nous nous engageons à protéger les informations de nos clients. L’entreprise a pris des mesures immédiates pour remédier à la situation et a fermé l’accès externe à l’application. Nous évaluons actuellement quel effet, le cas échéant, cela a eu sur la sécurité des informations des clients. Nous n’aurons pas d’autres commentaires tant que notre examen interne ne sera pas terminé.
Je dois souligner que ces documents étaient simplement disponibles sur le site Web de First American; Je n’ai aucune information indiquant si ce fait était connu des fraudeurs auparavant, et je n’ai aucune information suggérant que les documents ont été en quelque sorte récoltés en masse (bien qu’une indexation faible et lente ou distribuée de ces données n’aurait pas été difficile même pour un attaquant novice).
Néanmoins, les informations exposées par First American seraient une mine d’or virtuelle pour les hameçonneurs et les escrocs impliqués dans les escroqueries dites Business Email Compromise (BEC), qui usurpent souvent l’identité d’agents immobiliers, d’agences de fermeture, de titres et de sociétés d’entiercement dans le but de tromper acheteurs de biens immobiliers à virer des fonds aux fraudeurs. Selon le FBI, les escroqueries BEC sont aujourd’hui la forme de cybercriminalité la plus coûteuse.
Armés d’un lien unique vers un document First American, les escrocs BEC auraient une quantité infinie de modèles de phishing très convaincants à utiliser. Une base de données comme celle-ci donnerait également aux fraudeurs un flux constant de nouvelles informations sur les transactions financières immobilières à venir – y compris les adresses e-mail, les noms et les numéros de téléphone des agents de clôture et des acheteurs.
Comme indiqué dans les articles précédents ici, ces types d’expositions de données sont parmi les plus courants mais évitables. En décembre 2018, la société mère de Kay Bijoutiers et Joaillier Jared a corrigé une faiblesse de leur site qui exposait les informations de commande de tous leurs clients en ligne.
En août 2018, le géant du secteur financier Fiserv inc. correction d’un bogue signalé par BreachTrace qui exposait les détails personnels et financiers d’innombrables clients sur des centaines de sites Web bancaires.
En juillet 2018, le service de protection contre l’usurpation d’identité LifeLock corrigé une faille de divulgation d’informations qui exposait l’adresse e-mail de millions d’abonnés. Et en avril 2018, PaneraBread.com a remédié à une faiblesse en exposant des millions de noms de clients, d’adresses e-mail et physiques, d’anniversaires et de numéros de carte de crédit partiels.