اولین خطای امنیتی تاریخ ثبت اسناد آمریکا منجر به انتشار 885 میلیون سند ملکی شد

طبق گفته شرکت Krebs در بخش امنیت، اولین نقص امنیتی مالی در این بخش، باعث لو رفتن اطلاعات 885 میلیون سند املاک و مستغلات از سال 2003 تا کنون شده که همگی در معرض این خطر قرار داشتند. این شرکت که خود یکی از بزرگترین شرکت‌های فعال حوزه بیمه املاک ایالات متحده است، موضوع فوق را روز جمعه بعد از دریافت گزارش از تیم تحقیق امنیتی خود اطلاع رسانی نمود. این گزارش نشان می‌دهد که اگر شخصی با یک پیوند به یکی از اسناد میزبانی شده در وب سایت خود دسترسی داشته باشد، می‌تواند به سادگی یک رقم در URL را برای دسترسی به فایل‌های دیگران تغییر دهد. اسناد نیز نیاز به رمز عبور یا هر نوع احراز هویت دیگری ندارند.

با توجه به ماهیت کسب و کار املاک و مستغلات، این فایل‌ها شامل انواع اطلاعات حساس، از جمله شماره حساب‌های بانکی و اظهارات کاربران، پرونده‌های وام مسکن و مالیات، شماره‌های امنیت اجتماعی، رسید معاملات سیستمی و تصاویر مجوزهای مربوطه است. بن شوال، توسعه دهنده املاک و مستقلات که آسیب پذیری را کشف کرد، در این باره به Krebs گزارش داد و همچنین گفت که مشتریان کسب و کارهای کوچک حتی ممکن است دسترسی سریعتری به اسناد داخلی داشته باشند.

پس از اینکه شوال در مورد این موضوع اوایل هفته با Krebs تماس گرفت، محقق امنیتی نیز تایید کردند که وب سایت شرکت ثبت اسناد و مستغلات به سادگی و با تغییر رقم در URL، این دسترسی را ایجاد می‌کند. این وب سایت در نهايت بخشي از وب سايت خود را كه 24 ساعته به مشتریان ارائه سرویس می‌داد را غیر فعال نمود. Krebs خاطر نشان کرد که اطلاعاتی مبنی بر اینکه پرونده‌های موجود در ثبت اسناد امریکا مورد دسترسی قرار گرفته باشند وجود ندارد. همچنین مشخص نیست که این آسیب پذیری پس از ادغام سرویس آرشیو در 2017 میلادی بوجود آمده یا بعد از آن، اما قطعا خسارات آن پس از سال 2017 بوده است.

بهترین سناریو این است که هیچ یک از بد افزارها به وب سایت ثبت اسناد توجه نکرده‌اند، اما این اسناد می‌تواند برای وب سایت‌های فروش اطلاعات و طراحی حمله‌های فیشینگ مورد استفاده قرار بگیرند. سخنگوی نزدیک به تیم تحقیق گفت که برآورد سازمان ثبت اسناد و مستغلات امریکا در حال حاضر تعیین می‌کند که این نقص منجر به ضربه به حریم خصوصی کاربران شده است یا خیر.

آنها در بیانیه خود اعلام نمودند:

موسسه فرست امریکن از یک نقص طراحی در یک برنامه که اجازه دسترسی غیرمجاز به اطلاعات مشتریان را امکان پذیر ساخته، مطلع شده است. در سازمان‌های امریکایی، امنیت، حریم خصوصی و محرمانه بودن از اولویت برخوردار است و ما متعهد به حفاظت از اطلاعات مشتریانمان هستیم. اقدام به رسیدگی به وضعیت فعلی و تعطیل کردن دسترسی خارجی به برنامه را انجام دادیم. در حال حاضر ما در حال ارزیابی هستیم که این نقص چه تاثیری بر امنیت اطلاعات مشتریان داشته است. تا زمانی که بررسی اطلاعات داخلی ما کامل نشده باشد، اظهار نظر بیشتری نخواهیم داشت.