Η δεύτερη μεγαλύτερη εταιρεία υπηρεσιών ασφάλισης στην Αμερική, η First American Financial Corp, κατηγορήθηκε την Τετάρτη ότι επέτρεψε την διαρροή ευαίσθητων προσωπικών δεδομένων των πελατών της.
Όπως δήλωσε το υπουργείο Οικονομικών της Νέας Υόρκης, πληροφορίες όπως αριθμοί κοινωνικής ασφάλισης, αριθμοί τραπεζικών λογαριασμών, άδειες οδήγησης και άλλα αρχεία βρίσκονταν εκτεθειμένα από τον Οκτώβριο του 2014 έως τον Μάιο του 2019, εξαιτίας μίας ευπάθειας στον ιστότοπο της First American.
Σύμφωνα με το κατηγορητήριο, η ομάδα ασφαλείας της First American ανακάλυψε την ευπάθεια τον Δεκέμβριο του 2018, πραγματοποιώντας μια προσομοιωμένη επίθεση γνωστή ως «penetration test». Ωστόσο όταν η εταιρεία ενημερώθηκε για την ευπάθεια, αγνόησε τις συμβουλές της ομάδας.
Η ρυθμιστική αρχή θεωρεί κάθε περίπτωση εκτεθειμένων προσωπικών πληροφοριών ως ξεχωριστή παραβίαση, κι έτσι οι ποινή μπορεί να κοστίσει ακριβά στην εταιρεία, αφού θα μπορούσε να πληρώσει μέχρι και 1.000 $ σε κάθε πελάτη.
Η First American δήλωσε στις 24 Μαΐου 2019, ότι είχε διορθώσει την ευπάθεια, μετά την ανάρτηση του ειδικού στον τομέα της ασφάλειας στον κυβερνοχώρο, Brian Krebs, ότι είχαν εκτεθεί 885 εκατομμύρια αρχεία που χρονολογούνται από το 2003. Η τιμή της μετοχής της εταιρείας μειώθηκε κατά 6,3% την επόμενη ημέρα.
Ωστόσο η εταιρεία δήλωσε την Τετάρτη ότι “διαφωνεί έντονα” με τις κατηγορίες.
Η εταιρεία που εδρεύει στην Καλιφόρνια, δήλωσε ότι σύμφωνα με την έρευνα που πραγματοποίησε η ίδια, εντόπισε μόνο ένα μικρό αριθμό πελατών, των οποίων τα δεδομένα είχαν διαρρεύσει χωρίς την άδειά τους, όμως δεν ανακάλυψε κάποια άλλη κακόβουλη δραστηριότητα.
“Σκοπεύουμε να υπερασπιστούμε σθεναρά τους εαυτούς μας από τις παράλογες κατηγορίες του υπουργείου”, ανέφερε η εταιρεία.
Το τμήμα χρηματοοικονομικών υπηρεσιών είπε ότι η έρευνα της First American διαπίστωσε ότι πάνω από 350.000 έγγραφα είχαν παραβιαστεί από τον Ιούνιο του 2018 έως τον Μάιο 2019 από αυτοματοποιημένα προγράμματα “bots” ή “scraper“.
Η First American κατηγορήθηκε για παράβαση έξι διατάξεων του κανονισμού για την ασφάλεια στον κυβερνοχώρο, που τέθηκε σε ισχύ τον Μάρτιο του 2017. Ο κανονισμός απαιτεί οι τράπεζες και οι ασφαλιστικές εταιρείες που έχουν άδεια λειτουργίας στη Νέα Υόρκη να διαθέτουν «ισχυρά» προγράμματα ασφάλειας στον κυβερνοχώρο και να τα παρακολουθούν τακτικά.
Η ακρόαση έχει προγραμματιστεί για τις 26 Οκτωβρίου.
