Riesenleak führt zu Sammelklage gegen First American

28. Mai 2019, 13:17
  • security
  • breach
image

Beim US-Versicherungsriesen First American Financial Corp.

Beim US-Versicherungsriesen First American Financial Corp. waren auf seiner Website 885 Millionen sensible Daten und Dokumente im Zusammenhang mit Hypothekengeschäften öffentlich einsehbar. Die digitalisierten Datensätze waren für jede Person mit einem Webbrowser ohne eine Authentifizierung verfügbar. Nun droht dem Unternehmen eine Sammelklage.
Die Anwaltskanzlei Gibbs Law Group LLP, die auf Konsumentenrechte spezialisiert ist, hat laut der 'Global Banking & Financial Revue' die erste landesweite Sammelklage gegen First American eingereicht.
Die Verbraucher hätten es nicht verdient, dass ihre personenbezogenen Daten so rücksichtslos behandelt würden, sagte Andre Mura von der Gibbs Law Group. Es sei schockierend, dass ein Unternehmen dieser Grössenordnung die grundlegendsten Sicherheitsprotokolle eklatant missachten würde, wenn es sich um hochsensible, persönliche Informationen handelt.
Der Security-Experte Brian Krebs hatte auf seiner Website 'Krebsonsecurity.com' den Leak öffentlich gemacht. Bei den Daten handelt es sich unter anderem um Bankkontonummern und Kontoauszüge, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern, Überweisungsbelege und Fotos von Führerscheinen der First-American-Kunden. Die Dokumente reichen bis ins Jahr 2003 zurück.
Grund war ein Website-Design-Fehler
Was im Falle von First American Financial geschah, ist ein relativ häufiger Website-Design-Fehler namens Insecure Direct Object Reference (IDOR), wie Dave Farrow, Senior Director of Information Security bei Barracuda Networks, gegenüber 'Forbes' erklärte.
Im Wesentlichen wird ein Link zu einer Webseite mit sensiblen Informationen erstellt, der nur von einer bestimmten Partei gesehen werden soll, aber es gibt keine Methode, um die Identität eines Besuchers tatsächlich zu überprüfen. Infolgedessen kann jeder, der einen Link zu einem Dokument entdeckt, dieses einsehen und in der Folge auch jedes andere auf der Website gehostete Dokument durch einfaches Ändern des Links.
Selbst nach der Entdeckung des IDOR-Problems sei der manuelle Zugriff auf Dokumente eine zeitaufwändige Aufgabe, so Farrow weiter. Es sei aber auch möglich, dass Informationen von First American von Bots gesammelt und indiziert wurden.
First American hat den Leak bestätigt. "Wir prüfen derzeit, welche Auswirkungen dies auf die Sicherheit der Kundeninformationen hatte. Bis zum Abschluss unserer internen Überprüfung werden wir keine weiteren Kommentare mehr abgeben", sagte ein Sprecher zu 'Krebsonsecurity'. (paz)

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022