報(bào)告稱 First American網(wǎng)站上暴露了數(shù)百萬財(cái)務(wù)記錄

另一天，組織通過基本錯誤泄漏敏感數(shù)據(jù)的另一個例子。

安全專家布賴恩·克雷布斯發(fā)現(xiàn)，一家主要的所有權(quán)保險(xiǎn)公司的網(wǎng)站揭露了數(shù)億條記錄，包括銀行賬戶信息、社會保險(xiǎn)號碼、駕駛執(zhí)照圖像以及抵押和稅務(wù)記錄。

克雷布斯發(fā)現(xiàn)，作為幫助完成房地產(chǎn)交易的中立方的第一家美國金融公司(First American Financial)向擁有正確URL的任何人披露了約8.85億英鎊。 不需要密碼，只需要一個網(wǎng)頁瀏覽器。 這些信息是在周五獲得的，目前還不清楚欺詐者是否在數(shù)據(jù)被刪除之前訪問或?yàn)E用了這些數(shù)據(jù)。

據(jù)報(bào)道，一位房地產(chǎn)開發(fā)商提醒Krebs注意到這個問題，他可以通過改變URL末尾的數(shù)字串來訪問第一美國網(wǎng)站上的敏感文檔。 最早確定的文件是2003年，數(shù)據(jù)包括到2019年的記錄。

該缺陷是組織如何通過基本錯誤泄漏敏感數(shù)據(jù)的另一個例子。 周二，谷歌披露了其無意中將一些用戶密碼存儲在明文中的發(fā)現(xiàn)，避開了加密登錄憑據(jù)的行業(yè)標(biāo)準(zhǔn)做法。 周三，一位研究人員向CNET詳細(xì)介紹了Instagram如何在其網(wǎng)站的源代碼中包括用戶的個人聯(lián)系信息。 數(shù)據(jù)不是私有的，但是編碼錯誤使任何人都更容易刮掉聯(lián)系信息并創(chuàng)建Instagram用戶的虛擬電話簿。

在一份聲明中，第一美國人說它解決了這個問題。

該公司表示：“我們目前正在評估這對客戶信息安全的影響。 「我們聘請了一家外部的法醫(yī)公司，向我們保證，沒有任何有意義的未經(jīng)授權(quán)查閱我們的客戶資料?！?/p>