Утечки данных, по-видимому, являются бесконечным бедствием, на которое нет простого ответа, но произошедшая в последние месяцы утечка данных из службы проверки биографических данных National Public Data наглядно демонстрирует насколько опасны и неразрешимы они стали. И после четырех месяцев неопределенности ситуация только сейчас начинает проясняться с Национальными публичными данными, наконец признавая Взлом произошел в понедельник, как раз в тот момент, когда большая часть украденных данных оказалась в открытом доступе в Интернете.
В апреле хакер, известный продажей украденной информации, известный как USDoD, начал торговать кладом данных на форумах киберпреступников за 3,5 миллиона долларов, которые, по его словам, включали 2,9 миллиарда записей и повлияли на «все население США, Калифорнии и Великобритании». По мере того, как шли недели, образцы данных начали всплывать, поскольку другие участники и законные исследователи работали над тем, чтобы понять их источник и подтвердить информацию. К началу июня это было ясно, что по крайней мере часть данных была подлинной и содержали такую информацию, как имена, адреса электронной почты и физические адреса в различных комбинациях.
Данные не всегда точны, но, похоже, они включают в себя два массива информации. Один включает более 100 миллионов законных адресов электронной почты вместе с другой информацией, а второй включает номера социального страхования, но не адреса электронной почты.
«Похоже, произошел инцидент с безопасностью данных, который мог быть связан с некоторыми вашими личными данными», — написали в понедельник в National Public Data. «Предполагается, что инцидент был связан с сторонним злоумышленником, который пытался взломать данные в конце декабря 2023 года, с потенциальными утечками определенных данных в апреле 2024 года и летом 2024 года… Информация, которая, как предполагалось, была взломана, включала имя, адрес электронной почты, номер телефона, номер социального страхования и почтовый адрес(а)».
Компания заявляет, что сотрудничает с «правоохранительными органами и правительственными следователями». NPD столкнулись с возможными коллективными исками по поводу нарушения.
«Мы стали нечувствительны к бесконечным утечкам персональных данных, но я бы сказал, что существует серьезный риск», — говорит исследователь безопасности Джеремайя Фаулер, который следит за ситуацией с National Public Data. «Это может произойти не сразу, и могут потребоваться годы, чтобы кто-то из многих преступников успешно выяснил, как использовать эту информацию, но суть в том, что надвигается буря».
Когда информация украдена из одного источника, например Данные клиентов Target крадутся из Targetустановить этот источник относительно просто. Но когда информация украдена у брокера данных, а компания не сообщает об инциденте, гораздо сложнее определить, является ли информация законной и откуда она взялась. Как правило, люди, чьи данные были скомпрометированы в результате нарушения — настоящие жертвы — даже не знают, что National Public Data изначально хранила их информацию.
В своем блоге в среду о содержании и происхождении Национального хранилища публичных данных исследователь по вопросам безопасности Трой Хант написал«Единственные стороны, которые знают правду, — это анонимные злоумышленники, передающие данные, и агрегатор данных… У нас осталось 134 млн адресов электронной почты в открытом доступе и отсутствие четкого источника или ответственности».