Nueva York acusa a To start with American Economical por fuga masiva de datos – Krebs on Protection


En mayo de 2019, KrebsOnSecurity dio la noticia de que el sitio world-wide-web del gigante de seguros de títulos hipotecarios 1st American Money Corp. había expuesto aproximadamente 885 millones de registros relacionados con acuerdos hipotecarios desde 2003. El miércoles, los reguladores en Nueva York anunciaron que Initial American fue el objetivo de su primera acción de cumplimiento de seguridad cibernética en relación con el incidente, cargos que podrían generar fuertes sanciones financieras.

Initially American Economic Corp.

Con sede en Santa Ana, California Primer americano (NYSE: FAF) es un proveedor líder de seguros de títulos y servicios de liquidación para las industrias de bienes raíces e hipotecas. Emplea a unas 18,000 personas y trajo $ 6.2 mil millones en 2019.

Como se informó por primera vez aquí el año pasado, el sitio web de First American expuso 16 años de registros digitalizados de seguros de títulos hipotecarios, incluidos los números de cuenta bancaria y los estados de cuenta, los registros de hipotecas e impuestos, los números de Seguro Social, los recibos de transacciones electrónicas y las imágenes de la licencia de conducir.

Los documentos estaban disponibles sin autenticación para cualquiera con un navegador world-wide-web.

De acuerdo a una presentación (PDF) por el Departamento de Servicios Financieros del Estado de Nueva York (DFS), la debilidad que expuso los documentos se introdujo por primera vez durante una actualización del program de la aplicación en mayo de 2014 y no se detectó durante años.

Peor aún, el DFS descubrió que la vulnerabilidad se descubrió en una prueba de penetración que Initial American realizó por sí sola en diciembre de 2018.

«Sorprendentemente, el Demandado permitió el acceso sin restricciones a los datos personales y financieros de millones de sus clientes durante seis meses más hasta que un periodista de la industria de ciberseguridad reconocido a nivel nacional difundió ampliamente la violación y sus graves ramificaciones», explicó el DFS en una declaración en los cargos

Una captura de pantalla redactada de uno de los muchos millones de registros confidenciales expuestos por el sitio web de 1st American.

Reuters informes que las sanciones podrían ser significativas para To start with American: el DFS considera que cada instancia de información personalized expuesta es una violación por separado, y la compañía enfrenta sanciones de hasta $ 1,000 por violación.

En una declaración escrita, Initial American dijo que no está de acuerdo con los hallazgos del DFS, y que su propia investigación determinó que solo un «número muy limitado» de consumidores, y ninguno de Nueva York, tenía acceso a datos personales sin permiso.

En agosto de 2019, la compañía dijo que una investigación de terceros sobre la exposición identificado solo 32 consumidores cuya información personalized no pública probablemente fue visitada sin autorización.

Cuando KrebsOnSecurity preguntó el año pasado cuánto tiempo mantuvo registros de acceso o qué tan atrás en el tiempo transcurrió esa revisión, To start with American se negó a ser más específico, diciendo solo que sus registros cubrían un período que era típico para una empresa de su tamaño y naturaleza.

Pero en la presentación del miércoles, el DFS dijo que Initial American no pudo determinar si se accedió a los registros antes de junio de 2018.

«La investigación forense de los encuestados se basó en una revisión de los registros net retenidos desde junio de 2018 en adelante», encontró el DFS. «El propio análisis del encuestado demostró que durante este período de 11 meses, se accedió a más de 350,000 documentos sin autorización mediante programas automatizados de» bots «o» raspadores «diseñados para recopilar información en Internet.

Los registros expuestos por To start with American habrían sido una mina de oro virtual para phishers y estafadores involucrados en las llamadas estafas de Business E mail Compromise (BEC), que a menudo se hacen pasar por agentes de bienes raíces, agencias de cierre, empresas de título y custodia en un intento por engañar a la propiedad compradores a transferir fondos a estafadores. Según el FBI, las estafas BEC son la forma más costosa de cibercrimen en la actualidad.

El precio de las acciones de To start with American cayó más del 6 por ciento el día después de que se publicaron aquí las noticias de su fuga de datos. En los días siguientes, el DFS y la Comisión de Bolsa y Valores de EE. UU. Anunciaron que estaban investigando a la compañía.

Primer estadounidense lanzado sus ganancias del primer trimestre de 2020 hoy. Una audiencia sobre los cargos alegados por el DFS está programada para el 26 de octubre.


Etiquetas: To start with American Monetary Corp., Departamento de Servicios Financieros del Estado de Nueva York, Reuters

Esta entrada fue publicada el jueves 23 de julio de 2020 a las 12:12 pm y está archivada en Info Breaches, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic