第一美國財務的網絡被爆存在漏洞,近9億名客戶的敏感個人資料可能外洩。CNN截圖
第一美國財務的網絡被爆存在漏洞,近9億名客戶的敏感個人資料可能外洩。CNN截圖

本報訊

房貸產權保險公司第一美國財務(First American Financial Corp.)的網絡被爆存在漏洞,近9億名客戶的敏感個人資料可能外洩,但尚未有證據顯示資料已被人惡意竊取。第一美國證實漏洞存在,稱已即時採取措施補救,並調查可能造成的影響。

綜合CNN和美聯社報道,網絡安全記者克雷布斯(Brian Krebs)24日在博客《Krebs on Security》上發文,揭發第一美國網絡存在漏洞,可能危害客戶敏感個人資料。克雷布斯稱不法分子只需網址連結,便可以在毋須密碼或其他加密方法的情況下,瀏覽客戶的個人資料。
這些文件包括客戶的銀行賬戶號碼、月結單、貸款和稅務紀錄。一些文件亦寫有客戶的社安號碼、電匯文易收據和車牌等個人資料。如果受影響的8.85億個紀錄全部外洩,勢將成為互聯網上最大規模的資料洩露事件。
根據克雷布斯的博文,這批客戶資料相信至少在2017年3月開始上載互聯網,最早期的客戶資料可以追溯至2003年,但未知是否有資料實際上被不當使用。
克雷布斯表示,取得這批個人資料的方法極其簡單,如果某人知道其中一份文件的網址,假設第一美國提供有關房貸文件的網頁鏈接,當輸入網址打開文件,只需稍為更改網址最後幾個數字,便可以直接瀏覽其他人的敏感資料。
第一美國25日發聲明證實事件,稱公司了解到有應用程式出現設計缺陷,有可能使人在未經授權下取得客戶資料,公司已經關閉外部讀取有關應用程式。
聲明同時指出,公司仍在評估事件對客戶個人資料的保安有何影響,但未有證實多少份文件外洩,也沒有提及可能外洩的時間和內容等。總部位於加州聖塔安那市(Santa Ana)的第一美國財務,在9個國家設有800個辦事處,僱用1.8萬名員工。公司股價24日在延續交易時段下跌2%。
克雷布斯的博文另外提到,這種漏洞其實很常見,但實際上可以預防。珠寶製造商凱伊珠寶(Kay Jewelers)、金融服務公司Fiserv和個人身分防盜服務公司LifeLock都曾出現類似漏洞,隨後已經修正。