En mai 2019, BreachTrace a annoncé que le site Web du géant de l’assurance titres hypothécaires First American Financial Corp. avait exposé environ 885 millions de dossiers liés à des transactions hypothécaires remontant à 2003. Mercredi, les régulateurs de New York ont annoncé que First American était la cible de leur toute première action d’application de la cybersécurité en relation avec l’incident, des accusations qui pourraient entraîner de lourdes sanctions financières.
Basé à Santa Ana, en Californie Premier Américain [NYSE:FAF] est l’un des principaux fournisseurs d’assurance titres et de services de règlement aux secteurs de l’immobilier et des prêts hypothécaires. Elle emploie quelque 18 000 personnes et a fait venir 6,2 milliards de dollars en 2019.
Comme indiqué pour la première fois ici l’année dernière, le site Web de First American a exposé 16 ans de dossiers d’assurance titres hypothécaires numérisés, y compris des numéros de compte bancaire et des relevés, des dossiers hypothécaires et fiscaux, des numéros de sécurité sociale, des reçus de transactions électroniques et des images de permis de conduire.
Les documents étaient accessibles sans authentification à toute personne disposant d’un navigateur Web.
Selon un dépôt (PDF) par le Département des services financiers de l’État de New York (DFS), la faiblesse qui a exposé les documents a été introduite pour la première fois lors d’une mise à jour du logiciel d’application en mai 2014 et n’a pas été détectée pendant des années.
Pire encore, selon le DFS, la vulnérabilité a été découverte lors d’un test d’intrusion réalisé par First American en décembre 2018.
« Remarquablement, le défendeur a plutôt autorisé un accès sans entrave aux données personnelles et financières de millions de ses clients pendant six mois supplémentaires jusqu’à ce que la violation et ses graves ramifications soient largement diffusées par un journaliste de l’industrie de la cybersécurité de renommée nationale », a expliqué le DFS dans une déclaration sur les frais.
Reuter rapports que les sanctions pourraient être importantes pour First American : le DFS considère chaque cas d’informations personnelles exposées comme une violation distincte, et l’entreprise encourt des sanctions pouvant aller jusqu’à 1 000 $ par violation.
Dans une déclaration écrite, First American a déclaré qu’il n’était pas du tout d’accord avec les conclusions du DFS et que sa propre enquête avait déterminé que seul un « nombre très limité » de consommateurs – et aucun de New York – n’avaient eu accès à des données personnelles sans autorisation.
En août 2019, la société a déclaré qu’une enquête indépendante sur l’exposition identifié seulement 32 consommateurs dont les informations personnelles non publiques ont probablement été consultées sans autorisation.
Lorsque BreachTrace a demandé l’année dernière combien de temps il conservait les journaux d’accès ou jusqu’où cet examen remontait dans le temps, First American a refusé d’être plus précis, affirmant seulement que ses journaux couvraient une période typique pour une entreprise de sa taille et de sa nature.
Mais dans le dossier de mercredi, le DFS a déclaré que First American n’était pas en mesure de déterminer si les dossiers avaient été consultés avant juin 2018.
« L’enquête médico-légale du défendeur s’est appuyée sur un examen des journaux Web conservés à partir de juin 2018 », a constaté le DFS. « La propre analyse du répondant a démontré qu’au cours de cette période de 11 mois, plus de 350 000 documents ont été consultés sans autorisation par des programmes automatisés de « bots » ou de « scraper » conçus pour collecter des informations sur Internet.
Les dossiers exposés par First American auraient été une mine d’or virtuelle pour les hameçonneurs et les escrocs impliqués dans les soi-disant escroqueries Business Email Compromise (BEC), qui se font souvent passer pour des agents immobiliers, des agences de fermeture, des titres et des sociétés d’entiercement dans le but de tromper la propriété. acheteurs à virer des fonds aux fraudeurs. Selon le FBI, les escroqueries BEC sont aujourd’hui la forme de cybercriminalité la plus coûteuse.
Le cours de l’action First American a chuté de plus de 6% le lendemain de la publication de la nouvelle de leur fuite de données ici. Dans les jours qui ont suivi, le DFS et la Securities and Exchange Commission des États-Unis ont chacun annoncé qu’ils enquêtaient sur la société.
Première sortie américaine ses résultats du premier trimestre 2020 aujourd’hui. Une audience sur les accusations alléguées par le DFS est prévue le 26 octobre.