US-Immobilienversicherer First American 885 Millionen Kundendokumente lagen offen im Netz

Der Immobilienversicherer First American hat unwissentlich eine Goldgrube für Betrüger bereitgestellt. Um an die Unterlagen von Millionen Kunden zu gelangen, musste man nur einen Link im Browser verändern.

Ein Haus in der US-Stadt Vienna steht zum Verkauf. Immobilienkäufer in den USA brauchen häufig eine Rechtstitelversicherung
Larry Downing/REUTERS

Ein Haus in der US-Stadt Vienna steht zum Verkauf. Immobilienkäufer in den USA brauchen häufig eine Rechtstitelversicherung


Sozialversicherungsnummer, Steuer- und Hypothekenunterlagen, Führerscheinfotos, Bankverbindungen, Quittungen von Millionen Kunden - alles lag praktisch ungeschützt im Netz: Wer jemals eine E-Mail von First American mit einem Link darin bekommen hat, hätte damit sensible Daten aus 885 Millionen Kundendokumenten seit 2003 einsehen können.

First American Financial Corporation, so der vollständige Name des Unternehmens, ist ein auf Rechtstitel spezialisierter US-Versicherer mit einem Jahresumsatz von zuletzt 5,8 Milliarden Dollar. Rechtstitelversicherungen sind in den USA beim Kauf hypothekenfinanzierter Immobilien üblich.

Das älteste auffindbare Dokument stammte aus dem Jahr 2003

Die Sicherheitsvorkehrungen des Unternehmens waren jedoch mangelhaft. Jeder Kunde, der per E-Mail einen Link mit seiner Transaktionsnummer in der URL zugeschickt bekam, konnte diese einfach verändern und bekam dann die entsprechenden Dokumente anderer Kunden angezeigt. Der US-Journalist Brian Krebs hat den Fall öffentlich gemacht, nachdem er von einem Entwickler darauf aufmerksam gemacht wurde.

Das älteste auffindbare Dokument hatte die Nummer 000000075 und stammte aus dem Jahr 2003. Die aktuellsten mit neunstelligen Nummern betrafen Immobiliengeschäfte, die noch nicht einmal abgeschlossen waren. Wie lange das System so funktionierte, ist nicht klar, aber es müssen mindestens zwei Jahre gewesen sein, schreibt Krebs.

Ob Betrüger davon wussten und die Schwachstelle ausgenutzt haben, ist ebenfalls unbekannt. Sie hätten dafür zumindest einen Link von First American auf ein Dokument kennen müssen. Dann aber wäre es für sie eine wahre Goldgrube gewesen. Mit den Daten hätten sie sich als jemand anderes ausgeben können, um betrügerische Immobiliengeschäfte abzuwickeln, sie hätten Kunden erpressen oder sehr gezielte Phishingattacken starten können, um Passwörter etwa zu Bankkonten zu bekommen.

First American sprach in einem Statement von einem "design defect" und stoppte die Zugriffsmöglichkeit auf die Kundendokumente. Nun werde untersucht, ob und in welchem Ausmaß Kundeninformationen an Unbefugte gelangten. Bis zum Abschluss der Untersuchung werde sich das Unternehmen nicht mehr äußern, teilte Krebs mit.

pbe



insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
Ein_denkender_Querulant 25.05.2019
1. Unfassbar
Das ist Grund, warum es immer problematischer mit dem Datenschutz wird. Es reichen einige Löcher und schon steht man selber blank da. Diese Löcher gibt es in Krankenhäusern, beim Versandhandel, in Versicherungen und Banken. Und ja, alle Daten sind sensibel.
komatzu 25.05.2019
2. für eine solche Unfähigkeit mit Daten
umzugehen sollte jemand eingesperrt werden. das ist nicht mehr fahrlässig sondern nur noch kriminell. das mit den Link anpassen ist vor über 30 Jahren schon möglich gewesen in den anfangszeiten des Internets aber dann natürlich eingestellt worden.
NixAlsVerdruss 25.05.2019
3. Fehlendes Sicherheitsbewustsein
Das ganze ist ein Designfehler wie sie selbst Anfängern nicht hätten passieren dürfen. Mit Datenschutz, mit Sicherheit im Internet oder mit Schutz vor Hackern und Crackern hat das absolut nichts zu tun. Das ist schlicht weg himmelschreiender Pfusch und gröbst Nachlässigkeit. Aber First America - America First.
shardan 25.05.2019
4. Das ist peinlich!
Menschen machen Fehler, das ist nun mal so. Aber was hier passiert ist, ist kein Fehler, keine Panne. Hier wurde, wohl um Entwicklungskosten zu minimieren, auf ein Zugriffsverfahren zurückgegriffen, dass in dieser Form seit den Anfängen des Internet als unsicher wohlbekannt ist. Das ist keine "by design" Panne, das ist ganz schlicht gröbste Schlampigkeit, ein eines professionellen Unternehmens unwürdiges Armutszeugnis. (Nun ja. Manche sind Professionell, manche halten sich dafür..) Das bei der schieren Masse der Vorgänge nie so ein manipulierbarer Link in falsche Hände geraten ist, ist in hohem Maße unwahrscheinlich. Wie ein Vorposter bereits sagte: Mittlerweile genügt es, wenn irgend ein Dummkopf bei einem Versandhändler einen Fehler macht oder ein BWL-Controletti anordnet, dass das alles viel billiger gehen muss - und schon lasse ich datentechnisch die Hosen runter - völlig ungefragt, ohne jeden Schutz, ohne jede Einflussmöglichkeit.
theos001 25.05.2019
5.
Man liest so etwas....und dann erinnert man sich das unser greiser Innenminister alles daran setzt damit Polizei und Geheimdienste jederzeit an unsere privaten Daten gelangen und Firmen, die unsere Daten schützen, sollen ihre Verschlüsselung absichtlich im Namen der "Sicherheit" schwächen, damit der staat immer rankommt....
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.