le Commission américaine des valeurs mobilières et des échangesn (SEC) enquête sur une faille de sécurité sur le site Web du géant de l’assurance titres immobiliers First American Financial Corp. qui a révélé plus de 885 millions de dossiers personnels et financiers liés à des transactions hypothécaires remontant à 2003, a appris BreachTrace.
En mai, BreachTrace a annoncé que le site Web de First American, basé à Santa Ana, en Californie, [NYSE:FAF] a exposé quelque 885 millions de documents liés à des fermetures immobilières au cours des 16 dernières années, y compris des numéros de compte bancaire et des relevés, des dossiers hypothécaires et fiscaux, des numéros de sécurité sociale, des reçus de transactions électroniques et des images de permis de conduire. Aucune authentification n’était requise pour visualiser les documents.
Le conseil initial sur cette histoire est venu de Ben Shoval, un promoteur immobilier basé à Seattle. Shoval a déclaré avoir récemment reçu une lettre de la division de l’application de la SEC indiquant que l’agence enquêtait sur l’exposition des données pour déterminer si First American avait violé les lois fédérales sur les valeurs mobilières.
Dans sa lettre, la SEC a demandé à Shoval de conserver et de partager tous les documents ou preuves qu’il avait liés à l’exposition des données.
« Cette enquête est une enquête d’enquête non publique », expliquait la lettre. « L’enquête ne signifie pas que nous avons conclu que quelqu’un a enfreint la loi. »
La SEC a refusé de commenter cette histoire.
La nouvelle de l’enquête de la SEC survient des semaines après que les régulateurs de New York ont déclaré qu’ils enquêtaient sur la société dans ce qui pourrait s’avérer être le premier test de la nouvelle réglementation stricte de l’État en matière de cybersécurité, qui oblige les sociétés financières à auditer et à rendre compte périodiquement de la manière dont elles protègent les informations sensibles. données, et prévoit des amendes dans les cas où les violations étaient imprudentes ou délibérées. Le premier américain est aussi maintenant la cible d’un recours collectif qui allègue qu’il « n’a pas mis en œuvre des mesures de sécurité même rudimentaires ».
First American a publié une série de déclarations au cours des derniers mois qui semblent minimiser la gravité de l’exposition des données, qui, selon la société, était le résultat d’un « défaut de conception » de son site Web.
Le 18 juin, First American mentionné un examen des journaux du système par une société d’expertise judiciaire externe, « sur la base des conseils de l’entreprise, a identifié 484 fichiers auxquels des personnes ont probablement eu accès sans autorisation. La société a examiné 211 de ces fichiers à ce jour et a déterminé que seulement 14 (ou 6,6 %) de ces fichiers contiennent des informations personnelles non publiques. La société est en train d’informer les consommateurs concernés et leur offrira des services de surveillance du crédit gratuits. »
Dans un communiqué du 16 juillet, First American a déclaré que son enquête maintenant terminée identifié seulement 32 consommateurs dont les informations personnelles non publiques ont probablement été consultées sans autorisation.
« Ces 32 consommateurs ont été informés et se sont vu offrir des services gratuits de surveillance du crédit », a déclaré la société.
First American n’a pas répondu aux questions sur la durée de persistance de ce « défaut de conception » sur son site, la date à laquelle il a conservé les journaux d’accès ou la date à laquelle l’examen de la société s’est étendu dans ces journaux d’accès.
Mis à jour le 13 août à 8h40 : Ajout de « pas de commentaire » de la SEC.