États-Unis : méga-fuite de données personnelles chez un géant de l’assurance

first-american.jpg

Le 24 mai 2019, le blog KrebsOnSecurity révélait la fuite de centaines de millions de documents chez le leader américain de l’assurance immobilière, First American Financial Corp.

Des données hautement confidentielles disponibles publiquement

Causée par une vulnérabilité du site Internet de l’entreprise, cette méga-fuite, qui aurait débuté en 2003, inclut des données hautement confidentielles comme les numéros de compte en banque, les relevés de compte, les déclarations fiscales ou encore les numéros de sécurité sociale et les documents d’identité d’individus ayant recours aux services de First American Financial Corp. Les données étaient disponibles publiquement, sans mot de passe ni identification.

Le promoteur immobilier qui a découvert la fuite, Ben Shoval, explique comment plus de 885 millions de dossiers ont pu se retrouver ainsi ouverts aux quatre vents :

La plupart des fichiers ayant fuité sont des preuves de transactions bancaires, qui incluent les numéros de compte et d’autres informations sur les acheteurs et les vendeurs de biens immobiliers. First American est l’une des entreprises les plus utilisées pour l’assurance de titres immobiliers et pour le closing de deals immobiliers.

Une catastrophe pourtant évitable

Ni Ben Shoval, ni KrebsOnSecurity ne sont pour l’instant en mesure de confirmer l’exploitation de cette fuite par des tiers malveillants. Quant à First American, l’entreprise n’a pas tardé à réagir à la nouvelle :

L’entreprise est immédiatement passée à l’action pour adresser la situation et fermer les accès externes à l’application. Nous évaluons actuellement les effets, s’il y en a, sur la sécurité des informations de nos clients.

Ce type de fuites peut évidemment coûter très cher aux entreprises, particulièrement en Europe depuis l’entrée en vigueur du RGPD. Elles sont pourtant assez faciles à remédier, et des audits réguliers des sites webs internes et externes devraient permettre de les détecter avant qu’il ne soit trop tard…

(Source : KrebsOnSecurity)