Le site Web du géant de l'assurance immobilière First American Financial Corp. du Fortune 500 a divulgué des centaines de millions de documents liés à des opérations de prêt hypothécaire remontant à 2003, jusqu'à ce que KrebsOnSecurity l’en ait informé la semaine dernière. Les enregistrements numérisés, y compris les numéros de compte bancaire et les relevés de compte, les enregistrements de prêt hypothécaire et fiscal, les numéros de sécurité sociale, les reçus de transaction et les images de permis de conduire, étaient disponibles sans authentification à quiconque disposant d'un navigateur Web.First American, basée à Santa Ana, en Californie, est un fournisseur de premier plan de services d’assurance de titres et de règlement à l’intention des secteurs de l’immobilier et des prêts hypothécaires. L’entreprise emploie quelque 18 000 personnes et a rapporté plus de 5,7 milliards de dollars en 2018.
La faille
Plus tôt la semaine dernière, KrebsOnSecurity a été contacté par un promoteur immobilier de l'État de Washington, qui a déclaré qu'il n'avait pas eu beaucoup de chance d'obtenir une réponse de la société à propos de ce qu'il avait découvert, à savoir qu'une partie de son site Web (firstam.com) fuitait des dizaines sinon des centaines de millions d’enregistrements. Il a déclaré que toute personne connaissant l'URL d'un document valide sur le site Web pouvait consulter d'autres documents simplement en modifiant un seul chiffre dans le lien.
Et cela pourrait potentiellement inclure toute personne ayant déjà reçu un lien de document par courrier électronique de First American.
KrebsOnSecurity a confirmé les conclusions du promoteur immobilier, qui indiquent que le site Web de First American a révélé environ 885 millions de fichiers, le plus ancien datant de plus de 16 ans. Aucune authentification n'était requise pour lire les documents.
Capture d'écran de l’un des millions d’enregistrements sensibles exposés par le site Web de First American
La plupart des fichiers exposés sont des enregistrements de transactions électroniques avec des numéros de compte bancaire et d'autres informations provenant d'acheteurs et de vendeurs de maisons ou de biens immobiliers. Ben Shoval, le développeur qui a informé KrebsOnSecurity à propos de l’exposition des données, a déclaré que c’était parce que First American est l’une des sociétés les plus utilisées pour l’assurance de titres immobiliers et pour la conclusion de contrats immobiliers. Les deux parties à la vente se rencontrent dans une pièce pour signer des piles de documents juridiques.
« Les agences d’assurance titres sont censées être la seule partie neutre qui ne représente pas les intérêts de quelqu'un d'autre, et vous devez souscrire une assurance titres si vous avez une hypothèque quelconque », a déclaré Shoval.
« L’agence d’assurance titres recueille toutes sortes de documents auprès de l’acheteur et du vendeur, y compris les numéros de sécurité sociale, les permis de conduire, les relevés de compte et même des documents internes à l’entreprise, si vous êtes une petite entreprise. Vous leur donnez toutes sortes d'informations privées et vous vous attendez à ce qu'elles restent privées ».
Shoval a partagé un lien de document qui lui avait été fourni par First American lors d'une transaction récente, qui faisait référence à un numéro d'enregistrement composé de neuf chiffres et datant d'avril 2019. La modification du numéro du document dans son lien par des numéros dans les deux sens a généré des enregistrements d'autres personnes avant ou après la même date et heure, en indiquant que les numéros de document peuvent avoir été émis de manière séquentielle.
Le numéro de document le plus ancien disponible sur le site - 000000075 - faisait référence à une transaction immobilière de 2003. À partir de là, les dates sur les documents se rapprochent du temps réel avec chaque incrément de progression dans le numéro d'enregistrement.
La réaction de la société
À ce jour, la société a comblé la faille dans la sécurité de son site Web. Voici la déclaration de la société :
« First American a découvert un défaut de conception dans une application qui permettait un accès non autorisé aux données des clients. Chez First American, la sécurité, la confidentialité et la confidentialité sont des priorités absolues et nous nous engageons à protéger les informations de nos clients. La société a immédiatement pris des mesures pour remédier à la situation et a fermé l'accès externe à l'application. Nous évaluons actuellement son incidence éventuelle sur la sécurité des informations sur les clients. Nous n’aurons aucun autre commentaire jusqu’à la fin de notre examen interne ».
First American a fourni une seconde déclaration, ajoutant qu’elle avait engagé une entreprise externe afin de déterminer si une personne aurait pu accéder aux documents :
« Le 24 mai, First American a appris que l'une de ses applications de production présentait un défaut de conception qui permettait un accès non autorisé aux données des clients. La sécurité, la confidentialité et la confidentialité sont des priorités absolues et nous nous engageons à protéger les informations de nos clients.
« Par conséquent, la société a immédiatement pris des mesures pour remédier à la situation et a fermé l'accès externe à l'application. Nous évaluons actuellement son incidence éventuelle sur la sécurité des informations sur les clients. Nous avons retenu les services d’un cabinet d’experts judiciaires extérieur pour nous assurer qu’il n’y avait aucun accès non autorisé significatif à nos données clients ».
Krebs qualifie cette exposition de données de « véritablement massive - voire même superlative », et le nombre d'enregistrements et d'informations sensibles vient probablement soutenir cette affirmation.
Un type d’incident qui n’est pas rare
Ces types d’expositions de données sont parmi les plus courants et pourtant évitables. En décembre 2018, la société mère de Kay Jewelers et Jared Jewelers a corrigé une faiblesse de son site exposant les informations de commande de tous leurs clients en ligne.
En août 2018, le géant de l'industrie financière Fiserv Inc. a corrigé un bogue signalé par KrebsOnSecurity qui exposait les détails personnels et financiers d'innombrables clients sur des centaines de sites Web de banques.
En juillet 2018, le service de protection contre le vol d'identité LifeLock a corrigé une faille dans la divulgation d'informations qui exposait l'adresse électronique de millions d'abonnés. Et en avril 2018, PaneraBread.com a remédié à une faiblesse qui exposait des millions de noms de clients, d'adresses électroniques et physiques, de dates d’anniversaires des clients ainsi que des numéros partiels de cartes de crédit.
Source : KOS
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Près de 50 millions d'influenceurs Instagram ont vu leurs données de contact privées exposées en ligne, sur le serveur d'Amazon Web Services MDS : de nouveaux exploits liés à l'exécution spéculative qui affectent les CPU Intel jusqu'à Kaby Lake et exposent les données des mémoires tampon Docker Hub piraté : 190 000 comptes exposés, les jetons GitHub révoqués et les compilations désactivées L'infrastructure du protocole de communication sécurisé Matrix piratée, le hacker parle et expose de mauvaises pratiques de sécurité qui l'ont aidé 
