De Amerikaanse verzekeringsmaatschappij First American heeft via de eigen website honderden miljoenen gevoelige documenten gelekt. Het ging onder andere om rekeningafschriften en -nummers, hypotheek- en belastinggegevens, social security nummers en scans van rijbewijzen.

De documenten waren voor iedereen op internet toegankelijk. Een vastgoedontwikkelaar ontdekte dat de documenten zonder enige vorm van authenticatie gedownload konden worden. De documenten waren elk voorzien van een uniek id. Door het wijzigen van dit getal liet de website een ander document zien. Iedereen die de url van een geldig document kende kon zo toegang tot andere documenten krijgen.

De vastgoedontwikkelaar kreeg naar eigen zeggen geen gehoor bij First American en tipte vervolgens it-journalist Brian Krebs. Die ontdekte dat de website zo'n 885 miljoen documenten lekte, waarvan de oudste meer dan 16 jaar terugging. Veel van de documenten bleken transactiegegevens te bevatten met rekeningnummers en andere informatie van vastgoedkopers en -verkopers.

In een verklaring stelt First American dat er een fout in de applicatie zat waardoor ongeautoriseerde toegang tot klantgegevens mogelijk was. Daarop heeft de verzekeraar besloten de website uit de lucht te halen. Hoeveel documenten er zijn gelekt, hoe lang de fout aanwezig was en hoeveel klanten door het datalek zijn getroffen laat het bedrijf niet weten.