美按保机构「第一美国财务」被揭网络漏洞 九亿客户资料恐外泄

美国按揭保险公司第一美国财务(First American Financial Corp.)被爆出有网络漏洞,近9亿名客户的敏感个人资料可能外泄,不过尚未有证据显示资料已被人恶意窃取。第一美国已证实漏洞存在,表示已即时采取措施补救,并调查可能造成的影响。

网上图片

据了解,网络安全记者Brian Krebs在5月24日在网志《Krebs on Security》上发文,揭发第一美国的网络存有漏洞,可能危害客户敏感个人资料。Brian Krebs表示不法分子只需网址连结,便可以在毋须密码或其他加密方法的情况下,浏览客户的个人资料。这些文件包括客户的银行账户号码、月结单、贷款和税务纪录。一些文件亦写有客户的社会安全号码、电汇交易收据及车牌等个人资料。如果受影响的8.85亿个纪录全部外泄,势必成为互联网上最大规模的资料泄露事件。

根据Brian Krebs的网志,这批客户资料相信至少在2017年3月开始上载互联网,最早期的客户资料可以追溯至2003年,但未知是否有资料实际上被不当使用。Brian Krebs表示,取得这批个人资料的方法极其简单,如果某人知道其中一份文件的网址,假设第一美国提供有关楼按文件的网页链接,当输入网址打开文件,只需稍为更改网址最后几个数字,便可以直接浏览其他人的敏感资料。

第一美国在翌日发声明证实事件,称公司了解到有应用程式设计出现缺陷,有可能使人在未经授权下取得客户资料,公司已经关闭由外部读取有关应用程式。声明同时指出,公司仍在评估事件对客户个人资料的保安有何影响,但未有证实有几多份文件外泄,亦没有提及可能外泄的时间及内容等。

Brian Krebs的网志另外提到,这种漏洞其实很常见,但实际上可以预防。珠宝制造商Kay Jewelers、金融服务公司Fiserv和个人身分防盗服务公司LifeLock都曾出现类似漏洞,随后已经修正。

总部位于加州圣塔安那市(Santa Ana)的第一美国财务,在9个国家设有800个办事处,雇用1.8万名员工。