Un massiccio data breach ha esposto i dati personali di milioni di cittadini statunitensi. Quasi 2,7 miliardi di record contenenti nomi, numeri di previdenza sociale, indirizzi fisici e possibili alias sono stati pubblicati su un forum di hacking.
La fuga di dati proviene presumibilmente da National Public Data, un'azienda che raccoglie e vende l'accesso a informazioni personali per controlli dei precedenti, ottenere fedine penali e per investigatori privati. Si ritiene che l'azienda raccolga questi dati da fonti pubbliche per compilare profili individuali di persone negli Stati Uniti e in altri paesi.
Ad aprile, un hacker noto come USDoD aveva affermato di voler vendere 2,9 miliardi di record contenenti dati personali di persone negli USA, Regno Unito e Canada, rubati da National Public Data, per 3,5 milioni di dollari. USDoD è un attore di minaccia conosciuto, precedentemente collegato al tentativo di vendita del database utenti di InfraGard nel dicembre 2023 per $50.000.
La diffusione dei dati rubati
Il 6 agosto, un hacker chiamato "Fenice" ha pubblicato gratuitamente sul forum Breached quella che sembra essere la versione più completa dei dati rubati a National Public Data. Fenice ha attribuito la violazione ad un altro hacker di nome "SXUL", non a USDoD.
I file trapelati consistono in due documenti di testo per un totale di 277GB contenenti quasi 2,7 miliardi di record in chiaro. Ogni record include nome, indirizzi postali e numero di previdenza sociale della persona, con alcuni record che riportano informazioni aggiuntive come altri nomi associati. Nessuno di questi dati è crittografato.
È importante notare che una persona può avere più record, uno per ogni indirizzo noto in cui ha vissuto. Ciò significa che questa violazione non ha coinvolto effettivamente 3 miliardi di persone, come erroneamente riportato da alcuni articoli che non hanno analizzato correttamente i dati.
Potenziali impatti e precauzioni
Alcune persone hanno riferito a BleepingComputer che i loro numeri di previdenza sociale erano associati a persone sconosciute, quindi non tutte le informazioni sono accurate. Inoltre, i dati potrebbero essere obsoleti, poiché non contengono gli indirizzi attuali delle persone controllate.
La violazione dei dati ha portato a molteplici cause collettive contro Jerico Pictures, che si ritiene operare come National Public Data, per non aver adeguatamente protetto i dati delle persone.
Se vivi negli Stati Uniti, è probabile che questa violazione abbia esposto alcune delle tue informazioni personali. Poiché i dati contengono centinaia di milioni di numeri di previdenza sociale, si consiglia di monitorare il proprio rapporto di credito per rilevare attività fraudolente e segnalarle tempestivamente agli uffici di credito. Inoltre, poiché i campioni precedentemente trapelati contenevano anche indirizzi email e numeri di telefono, è consigliabile prestare attenzione a possibili tentativi di phishing via email o SMS volti a carpire ulteriori informazioni sensibili.