Brian Krebs ha rivelato che una società che opera principalmente nell’assicurazione immobiliare ha lasciato sul suo sito web ben 885 milioni di documenti, risalenti al 2003. Se disponi dell’URL di qualsiasi documento su un sito Web, puoi semplicemente aggiungere o sottrarre uno a un numero nell’URL per accedere a un altro documento.
Dato il tipo di attività in cui si trova questa azienda, tali registrazioni includono informazioni incredibilmente private. Krebs ha parlato con Ben Shoval, che ha portato l’esposizione alla sua attenzione e che afferma che i documenti potenzialmente inclusi sono: “numeri di sicurezza sociale, patenti di guida, estratti conto e persino documenti aziendali interni se sei una piccola impresa”.
Ad oggi, la società ha chiuso il buco nella sicurezza del suo sito web. Al momento, non possiamo sapere se qualcuno abbia effettivamente sfruttato questa vulnerabilità.
Le parole della società
Contrariamente a quanto avviene di solito in questi tipi di casi, First American Financial non sta nemmeno dicendo che non ha prove del fatto che i record siano stati consultati. In una dichiarazione a Krebs, ecco cosa ha detto:
“La società ha intrapreso un’azione immediata per risolvere la situazione e chiudere l’accesso esterno all’applicazione. Stiamo attualmente valutando quali effetti, ha avuto sulla sicurezza delle informazioni dei clienti. Non avremo ulteriori commenti fino al completamento della nostra revisione interna.”
Krebs caratterizza questa esposizione di dati come “seriamente preoccupante“, e il numero di record e le informazioni sensibili che contenevano era davvero alto.
Abbiamo contattato First American Financial per ulteriori commenti, ma al momento non è chiaro quali passi le persone potrebbero indagare per verificare se i loro dati sono divulgati.