Riesenleak führt zu Sammelklage gegen First American

Beim US-Versicherungsriesen First American Financial Corp. waren auf seiner Website 885 Millionen sensible Daten und Dokumente im Zusammenhang mit Hypothekengeschäften öffentlich einsehbar. Die digitalisierten Datensätze waren für jede Person mit einem Webbrowser ohne eine Authentifizierung verfügbar. Nun droht dem Unternehmen eine Sammelklage.
 
Die Anwaltskanzlei Gibbs Law Group LLP, die auf Konsumentenrechte spezialisiert ist, hat laut der 'Global Banking & Financial Revue' die erste landesweite Sammelklage gegen First American eingereicht.
 
Die Verbraucher hätten es nicht verdient, dass ihre personenbezogenen Daten so rücksichtslos behandelt würden, sagte Andre Mura von der Gibbs Law Group. Es sei schockierend, dass ein Unternehmen dieser Grössenordnung die grundlegendsten Sicherheitsprotokolle eklatant missachten würde, wenn es sich um hochsensible, persönliche Informationen handelt.
 
Der Security-Experte Brian Krebs hatte auf seiner Website 'Krebsonsecurity.com' den Leak öffentlich gemacht. Bei den Daten handelt es sich unter anderem um Bankkontonummern und Kontoauszüge, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern, Überweisungsbelege und Fotos von Führerscheinen der First-American-Kunden. Die Dokumente reichen bis ins Jahr 2003 zurück.
 
Grund war ein Website-Design-Fehler
Was im Falle von First American Financial geschah, ist ein relativ häufiger Website-Design-Fehler namens Insecure Direct Object Reference (IDOR), wie Dave Farrow, Senior Director of Information Security bei Barracuda Networks, gegenüber 'Forbes' erklärte.
 
Im Wesentlichen wird ein Link zu einer Webseite mit sensiblen Informationen erstellt, der nur von einer bestimmten Partei gesehen werden soll, aber es gibt keine Methode, um die Identität eines Besuchers tatsächlich zu überprüfen. Infolgedessen kann jeder, der einen Link zu einem Dokument entdeckt, dieses einsehen und in der Folge auch jedes andere auf der Website gehostete Dokument durch einfaches Ändern des Links.
 
Selbst nach der Entdeckung des IDOR-Problems sei der manuelle Zugriff auf Dokumente eine zeitaufwändige Aufgabe, so Farrow weiter. Es sei aber auch möglich, dass Informationen von First American von Bots gesammelt und indiziert wurden.
 
First American hat den Leak bestätigt. "Wir prüfen derzeit, welche Auswirkungen dies auf die Sicherheit der Kundeninformationen hatte. Bis zum Abschluss unserer internen Überprüfung werden wir keine weiteren Kommentare mehr abgeben", sagte ein Sprecher zu 'Krebsonsecurity'. (paz)