據外媒報導，2019年5月，KrebsOnSecurity爆料稱，抵押貸款產權保險巨頭First American Financial Corp.的網站暴露了大約8.85億條與抵押貸款交易相關的記錄，這些記錄可以追溯到2003年。週三，紐約的監管機構宣布，First American公司是他們有史以來第一次與該事件有關的網絡安全執法行動的目標，這些指控可能會帶來巨額的經濟處罰。

總部位於加州聖安娜市的First American公司是一家為房地產和抵押貸款行業提供產權保險和結算服務的領先供應商。該公司擁有約18000名員工，在2019年帶來了62億美元的收入。外媒去年曾報導稱，First American公司的網站曝光了可追溯到16年前的數字化抵押產權保險記錄–包括銀行賬戶號碼和報表、抵押貸款和稅收記錄、社會安全號碼、電匯交易收據和駕駛執照圖像。

任何有網絡瀏覽器的人都可以在沒有認證的情況下獲得這些文件。

根據紐約州金融服務部(DFS)的一份文件，暴露這些文件的漏洞是在2014年5月應用軟件更新時首次引入的，多年來一直未被發現。更糟糕的是，DFS發現，該漏洞是在2018年12月第一美國公司自行進行的滲透測試中發現的。

“值得注意的是，受訪者反而允許其數百萬客戶的個人和財務數據不受限制地訪問了六個月，直到該漏洞及其嚴重後果被一位全國知名的網絡安全行業記者廣泛宣傳，”DFS在一份關於指控的聲明中解釋道。

路透社報導稱，監管機構對First American司進行處罰的可能性很大。DFS認為每一次暴露個人信息都是一次單獨的洩露行為，該公司面臨的處罰是每一次違規最高1000美元。

First American司在一份書面聲明中表示，它堅決不同意DFS的調查結果，它自己的調查確定只有”非常有限的”消費者–而且沒有一個來自紐約的消費者–在未經許可的情況下訪問了個人數據。

2019年8月，該公司表示，第三方對該曝光事件的調查僅確定了32名消費者的非公開個人信息可能在未經授權的情況下被訪問。

當KrebsOnSecurity去年詢問它維護了多長時間的訪問日誌或該審查的時間有多遠時，First American拒絕更具體地說明，只說它的日誌涵蓋了一個時期，這對其規模和性質的公司來說是典型的。

但在周三的文件中，DFS表示，First American無法確定2018年6月之前的記錄是否被訪問。“被告的取證調查依賴於對2018年6月以後保留的網絡日誌的審查，”DFS發現。“答辯人自己的分析表明，在這11個月期間，超過35萬份文件在未經授權的情況下被旨在收集互聯網信息的自動’機器人’或’爬蟲’程序訪問。”

First American公司曝光的記錄對於參與所謂的商業電子郵件詐騙（BEC）的網絡釣魚者和詐騙者來說是一個虛擬的金礦，這種詐騙通常會冒充房地產經紀人、過戶機構、產權和託管公司，以欺騙房產買家將資金匯給詐騙者。根據FBI的數據，BEC詐騙是當今代價最高的網絡犯罪形式。

First American的股價在他們的數據洩露消息公佈後的第二天就下跌了超過6%。在隨後的幾天裡，DFS和美國證券交易委員會分別宣布對該公司進行調查。

First American週四發布了2020年第一季度財報。關於DFS指控的聽證會定於10月26日舉行。