image

Verzekeraar First American lekt miljoenen gevoelige documenten

maandag 27 mei 2019, 12:06 door Redactie, 2 reacties

De Amerikaanse verzekeringsmaatschappij First American heeft via de eigen website honderden miljoenen gevoelige documenten gelekt. Het ging onder andere om rekeningafschriften en -nummers, hypotheek- en belastinggegevens, social security nummers en scans van rijbewijzen.

De documenten waren voor iedereen op internet toegankelijk. Een vastgoedontwikkelaar ontdekte dat de documenten zonder enige vorm van authenticatie gedownload konden worden. De documenten waren elk voorzien van een uniek id. Door het wijzigen van dit getal liet de website een ander document zien. Iedereen die de url van een geldig document kende kon zo toegang tot andere documenten krijgen.

De vastgoedontwikkelaar kreeg naar eigen zeggen geen gehoor bij First American en tipte vervolgens it-journalist Brian Krebs. Die ontdekte dat de website zo'n 885 miljoen documenten lekte, waarvan de oudste meer dan 16 jaar terugging. Veel van de documenten bleken transactiegegevens te bevatten met rekeningnummers en andere informatie van vastgoedkopers en -verkopers.

In een verklaring stelt First American dat er een fout in de applicatie zat waardoor ongeautoriseerde toegang tot klantgegevens mogelijk was. Daarop heeft de verzekeraar besloten de website uit de lucht te halen. Hoeveel documenten er zijn gelekt, hoe lang de fout aanwezig was en hoeveel klanten door het datalek zijn getroffen laat het bedrijf niet weten.

Reacties (2)
27-05-2019, 23:02 door Anoniem
Zodra dergelijke fouten aan de orde van de dag zijn en het om effectief onontkoombare diensten gaat, moet je je afvragen of dataveiligheid in de praktijk wel bestaat. In het woud van dienstverleners en onderaannemers is er altijd ergens wel een die een open directory heeft.
28-05-2019, 16:54 door karma4
Het probleem van "zonder enige vorm van identificatie en autenticatie" is zeer algemeen.
Ik heb zelden gezien dat hetgeen aan de voorkant voor beveiliging nodig is geheel doorloopt naar de achterkant.
Je krijgt dan generieke service accounts die overal bij mogen en een voorkant waar men de beveiliging via eigen gemaakt menu's gaat bouwen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.