Brian Krebs ha revelado que una compañía que trabaja principalmente en seguros de bienes raíces ha dejado hasta 885 millones de registros expuestos en su sitio web, que se remonta a 2003. El gran error de First American Financial Corp debería haber sido obvio para cualquiera que haya dado un segundo Pensado para la seguridad. Si tuviera la URL de cualquier documento en su sitio web, simplemente podría agregar o restar uno a un número en la URL para acceder a otro documento.

Dado el tipo de negocio en el que se encuentra esta empresa, esos registros incluyen información increíblemente privada. Krebs habló con Ben Shoval, quien le llamó la atención sobre el tema y dijo que los documentos podrían incluir "Números de Seguro Social, licencias de conducir, estados de cuenta e incluso documentos corporativos internos si usted es una pequeña empresa".

A partir de hoy, la compañía ha cerrado el agujero en la seguridad de su sitio web. En este momento, no podemos saber si alguien realmente aprovechó esta vulnerabilidad. Contrariamente a lo que sucede con este tipo de divulgación de la exposición de datos, First American Financial ni siquiera dice que no tenga pruebas de que se haya accedido a los registros. En una declaración a Krebs, esto es lo que dijo (el énfasis a continuación es el nuestro):

First American se ha enterado de un defecto de diseño en una aplicación que hizo posible el acceso no autorizado a los datos del cliente. En First American, la seguridad, la privacidad y la confidencialidad son de la más alta prioridad y estamos comprometidos a proteger la información de nuestros clientes. La compañía tomó medidas inmediatas para abordar la situación y cerró el acceso externo a la aplicación. Actualmente estamos evaluando qué efecto, si lo hubo, tuvo esto en la seguridad de la información del cliente. No tendremos más comentarios hasta que se complete nuestra revisión interna..

Se puede acceder a una gran cantidad de datos privados detrás de las URL que no están protegidas por contraseña, pero aún se mantienen relativamente seguras porque sus URL son complejas e indiscutibles. Google Photos, por ejemplo, comparte imágenes de esta manera. Pero incluso si acepta que fue una buena práctica para First American Financial hacer que los documentos estén disponibles sin una contraseña, es increíblemente miope hacer que esas URL sean tan fáciles de adivinar.

Krebs caracteriza esta exposición de datos como "verdaderamente masivo, posiblemente superlativo", y la cantidad de registros y la información confidencial que contienen ciertamente respalda esa afirmación.

Nos comunicamos con First American Financial para hacer más comentarios, pero en este momento no está claro qué pasos podrían tomar las personas para verificar si sus datos se filtraron. Puede encontrar más información sobre la exposición en Krebs en Seguridad.