Very first American Financial paga una multa ridícula de $ 500K – Krebs on Safety


En mayo de 2019, KrebsOnSecurity dio la noticia de que el sitio net del gigante de liquidación hipotecaria To start with American Financial Corp. (NYSE: FAF) estaba filtrando más de 800 millones de documentos, muchos de los cuales contenían datos financieros confidenciales, relacionados con transacciones inmobiliarias que se remontan a 16 años. Esta semana, el Comisión de Valores de EE.UU resolvió su investigación sobre el asunto después de que la compañía Fortune 500 acordó pagar una multa insignificante de menos de $ 500,000.

1st American Economical Corp.

Si compró o vendió una propiedad en las últimas dos décadas, es muy probable que también haya entregado un montón de documentos personales y financieros a Initial American. De acuerdo a datos desde el Asociación Estadounidense de Títulos de Tierras, Initial American es la segunda compañía más grande de títulos y acuerdos hipotecarios en los Estados Unidos, y maneja casi una cuarta parte de todos los cierres cada año.

La SEC dice que To start with American obtiene casi el 92 por ciento de sus ingresos de su segmento de seguros de títulos, ganando $ 7.1 mil millones el año pasado.

El seguro de título protege a los compradores de vivienda de la perspectiva de que alguien impugne su legitimidad como nuevo propietario. De acuerdo a SimpleShowing.com, en realidad hay dos pólizas de seguro de título en cada transacción: una para el comprador y otra para el prestamista (este último también necesita protección, ya que proporciona la hipoteca para comprar la casa).

El seguro de título no es obligatorio por ley, pero la mayoría de los prestamistas lo requieren como parte de cualquier transacción hipotecaria. En otras palabras, si desea obtener una hipoteca sobre una casa, no podrá hacerlo sin proporcionar a compañías como Initially American montones de documentos sobre sus ingresos, activos y pasivos, incluida una gran cantidad de datos financieros confidenciales.

Además de su competencia comercial principal, verificar para asegurarse de que la propiedad en cuestión en cualquier transacción de bienes raíces no esté gravada por ningún gravamen u otras reclamaciones legales en su contra, Initially American básicamente tiene un trabajo: proteger la privacidad y seguridad de todos estos documentos.

Una captura de pantalla redactada de uno de los muchos millones de registros confidenciales expuestos por el sitio internet de First American.

Es fácil ver por qué empresas como Very first American podrían no ver la protección de estos datos como algo sacrosanto, ya que el incentivo de toda la industria para salvaguardar todos esos documentos confidenciales está algo desalineado.

Es decir, en la industria de seguros de títulos, las partes de una transacción de bienes raíces no son clientes, sino ellos son son el producto. Los clientes reales de las compañías de seguros de títulos son principalmente los bancos que respaldan estas transacciones hipotecarias.

Vemos una dinámica equivalent con las plataformas de redes sociales, donde el «usuario» no es el cliente en absoluto, sino el producto cuyos datos compran y venden estas plataformas.

Aproximadamente cinco meses antes de que KrebsOnSecurity notificara a Very first American que cualquier persona con un navegador world-wide-web podía ver documentos confidenciales en su foundation de datos «Eagle Professional» en línea con solo cambiar algunos caracteres al last de un enlace, una auditoría de seguridad interna en 1st American señaló exactamente la misma vulnerabilidad. .

Pero la empresa nunca actuó para solucionarlo hasta que los medios de comunicación lo llamaron.

La SEC procedimiento administrativo (PDF) explica cómo las cosas se deslizaron por las grietas. Según las políticas de corrección de vulnerabilidades documentadas de To start with American, la fuga de datos se clasificó como una debilidad de seguridad con una gravedad de «nivel 3», lo que la colocó en la categoría de «riesgo medio» y requirió corrección en un plazo de 45 días.

Pero en lugar de registrar la vulnerabilidad como una gravedad de nivel 3, debido a un mistake administrativo, la vulnerabilidad se ingresó erróneamente como una gravedad de nivel 2 o de «bajo riesgo» en el sistema de seguimiento automatizado de 1st American. Los problemas de nivel 2 debían solucionarse en un plazo de 90 días. Aun así, Initially American perdió esa marca.

La SEC dijo que, según las políticas de remediación de Initially American, si la persona responsable de solucionar el problema no puede hacerlo según los plazos enumerados anteriormente, ese empleado debe hacer que su gerencia se comunique con el departamento de seguridad de la información de la compañía para discutir su plan de remediación y el tiempo propuesto. estimar.

“Si no es técnicamente posible remediar la vulnerabilidad, o si el remedio tiene un costo prohibitivo, el (empleado) y su gerencia deben comunicarse con Seguridad de la Información para obtener una exención o aprobación de aceptación del riesgo del CISO”, explicó la SEC. «El (empleado) no solicitó una exención o riesgo de aceptación del CISO».

Entonces, alguien dentro de Initial American aceptó el riesgo, pero esa persona se olvidó de asegurarse de que los altos mandos dentro de la empresa también se sintieran cómodos con ese riesgo. Es difícil no tararear una melodía cada vez que surge la frase «acepté el riesgo» si alguna vez has visto esta excelente parodia de la industria de la seguridad de la información.

(incrustar) https://www.youtube.com/view?v=9IG3zqvUqJY (/ incrustar)

La SEC apuntó a 1st American porque unos días después de que se publicara nuestra historia del 24 de mayo de 2019, la compañía emitió una presentación 8-K ante la agencia indicando que Initially American no tenía indicios previos de ninguna vulnerabilidad.

«Esa declaración demostró que la alta dirección de First American no estaba debidamente informada sobre el informe anterior de una vulnerabilidad y la falta de solución del problema». escribió Michael Volkov, un fiscal federal de 30 años que ahora dirige El Grupo Jurídico Volkov en Washington, D.C.

Reportando para Inteligencia regulatoria de Reuters, Richard Satran dice que la SEC acusó a 1st American de violar Regla 13a-15 (a) de la Ley de Cambios.

«La regla requiere en common que las empresas involucradas en la emisión de valores tengan un proceso de cumplimiento para asegurar que la información content siga las leyes de valores», escribió Satran. «La SEC evitó entrar en los detalles específicos de la infracción y, en cambio, se centró en la forma en que se manejó su divulgación».

Mark Rasch, también exfiscal federal en Washington, dijo que la SEC está señalando con esta acción que tiene la intención de asumir más casos en los que las empresas fallan en la gobernanza de la seguridad de una manera importante.

«Es una victoria para la SEC y para 1st The us, pero difícilmente es justicia», dijo Rasch. «Es una multa insignificante y no implica ninguna admisión de culpabilidad por parte de 1st American».

Rasch dijo que el primer problema de Initial American fue etiquetar la debilidad como de riesgo medio.

«Se trata de una gran cantidad de datos confidenciales que está exponiendo a cualquier persona con un navegador net», dijo Rasch. “Esa es una vulnerabilidad de alto riesgo. También significa que probablemente no sepa si alguien ha accedido a esos datos o no. No hay forma de saberlo a menos que puedas revisar todos tus registros de todos esos años «.

La SEC dijo que los más de 800 millones de registros habían estado disponibles públicamente en el sitio world-wide-web de Very first American desde 2013. En agosto de 2019, la compañía dijo que una investigación de terceros sobre la exposición identificó solo a 32 consumidores cuya información particular no pública probablemente fue accedida sin autorización.

Cuando KrebsOnSecurity preguntó cuánto tiempo mantenía los registros de acceso o cuánto tiempo atrás se remontaba a esa revisión, First American se negó a ser más específico y solo dijo que sus registros cubrían un período que period típico de una empresa de su tamaño y naturaleza.

Sin embargo, documentos de los reguladores financieros de Nueva York muestran que 1st American no pudo determinar si se accedió a los registros antes de junio de 2018 (un año antes de corregir la debilidad).

Los registros expuestos por Initially American habrían sido una mina de oro digital para phishers y estafadores involucrados en estafas de Business enterprise Email Compromise (BEC), que a menudo se hacen pasar por agentes de bienes raíces, agencias de cierre, firmas de títulos y depósitos en garantía en un intento por engañar a los compradores de propiedades para que cableen. fondos a los estafadores. Según el FBI, las estafas BEC son la forma más costosa de ciberdelito en la actualidad.

Very first American aún no está fuera de los límites regulatorios por esta enorme filtración de datos. En julio de 2020, el Departamento de Servicios Financieros del Estado de Nueva York anunció que la compañía period el objetivo de su primera acción de aplicación de la seguridad cibernética en relación con el incidente, cargos que podrían acarrear fuertes sanciones financieras. Esa investigación está en curso.

El DFS considera cada instancia de información particular expuesta como una violación separada, y la compañía enfrenta multas de hasta $ 1,000 por violación. Según la SEC, la base de datos EaglePro de Very first American contenía decenas de millones de imágenes de documentos que incluían información personal no pública.



Enlace a la noticia first