Программное обеспечение страховой компании оказалось уязвимое, поэтому четыре года личные данные их клиентов находились в Сети.

Калифорнийская компания First American Title Insurance стала первой, кого обвинил Нью-Йоркский департамент финансовых услуг в том, что они нарушили кибербезопасность.

По их словам страховщик относился к защите данных пренебрежительно, поэтому произошла утечке, вследствие чего был нарушен закон, защищающий информацию, которая не предоставлена для общего доступа. С апреля 2018 г. компания хранила информацию 753 млн людей, конфиденциальными из них являлись 65 млн. В мае 2019 г. насчитывалось уже около 850 млн записей. Четыре года компания не замечала утечку, поэтому информация свободно была доступна каждому пользователю сети интернет.

Известно, что, начиная с 2014 г. и до конца мая 2019 г., на сайте First American абсолютно любой человек мог узнать все данные клиентов, в том числе информацию об ипотеке и уплачиваемых налогах, номера счетов в банках и социального страхования, а также их выписки, водительские права и квитанции от транзакций.

База данных First American Title Insurance, в которой содержались все документы клиентов, оказалась ненадежной. Компания поставила под угрозу тех, кого намерена была защищать. Обвинение сообщает, что программное обеспечение от EaglePro, необходимое для обмена документами по электронной почте с клиентами, работало неисправно, поэтому утечка началась в 2014 г. Уязвимость системы заключалась в том, что любые изображения и документы, которые отправлялись через это программное обеспечение, были доступны с параметром ImageDocumentID URL-адреса. Это позволяло легко изменить значение на любое другое и заполучить доступ к информации всех пользователей без запроса на авторизацию.

Компания узнала о том, что ПО уязвимо, но шесть месяцев скрывала это и не пыталась исправить проблему.