Naruszenia danych to pozornie niekończąca się plaga, na którą nie ma prostej odpowiedzi, ale naruszenie, które miało miejsce w ostatnich miesiącach w ramach usługi sprawdzania przeszłości National Public Data, pokazuje, jak niebezpieczne i trudne do rozwiązania stały się te naruszenia. Po czterech miesiącach niejasności sytuacja dopiero teraz zaczyna być wyjaśniana w ramach Krajowych Danych Publicznych uznanie Do naruszenia doszło w poniedziałek w chwili, gdy skarb skradzionych danych wyciekł do publicznej wiadomości w Internecie.
W kwietniu haker znany ze sprzedaży skradzionych informacji, znany jako USDoD, zaczął sprzedawać na forach cyberprzestępczych zbiór danych za 3,5 miliona dolarów, które według niego obejmowały 2,9 miliarda rekordów i miały wpływ na „całą populację USA, Kalifornii i Wielkiej Brytanii”. W miarę upływu tygodni próbki danych zaczęły się pojawiać, a inne podmioty i legalni badacze pracowali nad zrozumieniem ich źródła i potwierdzeniem informacji. Na początku czerwca już tak jasne, że przynajmniej część danych była legalna i zawierały informacje, takie jak nazwiska, adresy e-mail i adresy fizyczne, w różnych kombinacjach.
Dane nie zawsze są dokładne, ale wydaje się, że obejmują dwa źródła informacji. Jeden zawierający ponad 100 milionów prawidłowych adresów e-mail wraz z innymi informacjami, a drugi zawierający numery ubezpieczenia społecznego, ale bez adresów e-mail.
„Wygląda na to, że miał miejsce incydent związany z bezpieczeństwem danych, który mógł dotyczyć niektórych Twoich danych osobowych” – napisano w poniedziałek National Public Data. „Uważa się, że w incydencie brał udział podmiot zewnętrzny, który pod koniec grudnia 2023 r. próbował włamać się do danych, co doprowadziło do potencjalnego wycieku niektórych danych w kwietniu 2024 r. i latem 2024 r. … Informacje, co do których podejrzewano, że zostały naruszone, zawierały imię i nazwisko , adres e-mail, numer telefonu, numer ubezpieczenia społecznego i adres(y) korespondencyjny(e).”
Firma twierdzi, że współpracuje z „organami ścigania i śledczymi rządowymi”. NPD jest w obliczu potencjalnych pozwów zbiorowych nad naruszeniem.
„Staliśmy się znieczuleni na niekończące się wycieki danych osobowych, ale powiedziałbym, że istnieje poważne ryzyko” – mówi badacz bezpieczeństwa Jeremiah Fowler, który śledzi sytuację w National Public Data Data. „Być może nie będzie to natychmiastowe i może minąć wiele lat, zanim jednemu z wielu przestępców uda się wykorzystać te informacje, ale najważniejsze jest to, że nadchodzi burza”.
W przypadku kradzieży informacji z jednego źródła, na przykład w przypadku kradzieży danych klientów firmy Target, ustalenie tego źródła jest stosunkowo proste. Kiedy jednak brokerowi danych zostaną skradzione informacje, a firma nie zgłosi tego zdarzenia, znacznie trudniej jest ustalić, czy informacje są zgodne z prawem i skąd pochodzą. Zazwyczaj osoby, których dane zostały naruszone w wyniku naruszenia – czyli prawdziwe ofiary – nawet nie są świadome, że Krajowe Dane Publiczne w ogóle przechowywały ich informacje.
W środowym poście na blogu na temat zawartości i pochodzenia skarbnicy Krajowych Danych Publicznych badacz bezpieczeństwa Troy Hunt napisał„Jedynymi stronami, które znają prawdę, są anonimowi ugrupowania zagrażające przekazujące dane oraz agregator danych. … Pozostało nam 134 miliony adresów e-mail w publicznym obiegu i brak jasnego pochodzenia ani odpowiedzialności”.
