房地产保险公司留下近900万客户档案易受攻击

美国一家领先的房地产和抵押贷款保险公司First American Financial Corp.为弱势数据库留下了大量数据，其中一些可能包含社会安全号码和银行账户信息。

根据流行网络安全博客Krebs on Security的一篇星期五帖子，由演员Brian Krebs管理的不良演员只需要一个网址来查看文件，因为他们没有密码保护或其他加密。

根据该帖子，这些信息至少在2017年3月至今已在线托管，并且有近9亿个文件可能已被曝光，但不清楚是否有任何不正确的访问。根据克雷布斯的帖子，一些文件包括银行帐号和声明，抵押和税务记录，社会安全号码，有线交易收据和驾驶执照图像。

第一位美国人在周六向CNN Business发表的声明中证实，它“了解到应用程序中存在设计缺陷，导致未经授权访问客户数据。”声明说：“该公司立即采取行动解决这一问题并关闭对该应用程序的外部访问。”“我们目前正在评估这对客户信息的安全性有何影响。在内部审核完成之前，我们不会再发表任何评论。“

该公司没有确认可能暴露了多少文件或详细说明了在多长时间内可能有多少客户受到影响。克雷布斯说，它在周五通知First American这个漏洞。

根据克雷布斯博客的说法，访问文件非常容易：如果一个人知道一个文件的URL - 比如说First American给你发了一个链接到你的房地产贷款所涉及的文件 - 稍微调整一下最后几位数字。网址可以将用户直接带到另一个人的敏感信息。安全专家能够找到可追溯到2003年的文件。

它指出，此类数据漏洞很常见但可以预防。该帖子称，珠宝制造商Kay Jewelers，金融服务公司Fiserv以及身份盗窃保护服务LifeLock在过去一年中都采取了类似的措施。