44 ezer ügyfél személyes adata szivárgott ki a First American-nál

A First American Financial Corporation, az Egyesült Államok második legnagyobb pénzügyi szolgáltató vállalata nyilvánosságra hozta, hogy egy 2023 decemberi kibertámadás 44 000 ügyfele személyes adatait érintette. A cég pénzügyi és elszámolási szolgáltatásokat nyújt ingatlanokkal foglalkozó szakembereknek, lakásvásárlóknak valamint ingatlanközvetítőknek.

A vállalat tavaly decemberi nyilatkozatában kevés részletet közölt az incidenssel kapcsolatban, de most kénytelen volt egyes rendszereit leállítani a támadás következményeinek mérséklése érdekében.

Öt hónappal a támadás után, a cég az Egyesült Államok Értékpapír- és Tőzsdefelügyeletéhez (Securities and Exchange Commission, továbbiakban: SEC) benyújtott jelentésében az áll, hogy az incidens vizsgálata során kiderült, hogy a támadók a vállalat olyan rendszereihez fértek hozzá, melyek érzékeny adatokat tartalmazhattak.

A First American értesítette az adatszivárgásban érintett személyeket valamint ingyenes hitelfelügyeleti- és személyazonosság védelmi szolgáltatásokat kínál számukra.

Előzmények – kibervédelmi előírások megsértése

A First American-nak tavaly novemberben 1 millió dolláros büntetést kellett fizetnie, mivel korábban megsértették a vállalat belső kibervédelmi előírásait, és nyilvánosságra kerültek az ügyfeleik érzékeny adatai.

A vállalat évente több százezer magánszemély személyes- és pénzügyi adatait kezeli. A pénzügyi szolgáltató tevékenységek során keletkezett dokumentumokat a saját EaglePro nevű alkalmazásában tárolják. 2019 májusában a vállalat tudomást szerzett egy, az alkalmazásban található sebezhetőségről, amelynek következtében a hozzáféréshez használt link birtokában bármely személy hitelesítés nélkül hozzáférhetett nemcsak a saját dokumentumaihoz, hanem a nem kapcsolódó tranzakciókban részt vevő személyek dokumentumaihoz is.

Egy másik, hasonló szolgáltatást nyújtó amerikai vállalatot, a Fidelity National Financial-t is kiberbiztonsági incidens ért tavaly novemberben, mely során a vállalatnak le kellett állítania egyes rendszereit is, hogy megfékezze a támadást. A januári SEC beadványban a Fidelity National Financial megerősítette, hogy nagyjából 1,3 millió ügyfél adataihoz fértek hozzá káros szoftverekkel.

(bleepingcomputer.com)