Утечка национальных публичных данных: в даркнет попало 2,7 миллиарда записей

В августе хакер сбросил 2,7 миллиарда записей данных, включая номера социального страхования, на форум в даркнете, что стало одной из крупнейших утечек в истории.

Данные могли быть украдены из службы проверки биографических данных National Public Data по крайней мере четыре месяца назад. Каждая запись содержит имя человека, почтовый адрес и SSN, но некоторые также содержат другую конфиденциальную информацию, например имена родственников, согласно Bloomberg.

Как были украдены данные

Это нарушение связано с инцидентом, произошедшим 8 апреля, когда известная киберпреступная группа USDoD заявила, что имеет доступ к личным данным 2,9 миллиарда человек из США, Великобритании и Канады, и продавала эту информацию за 3,5 миллиона долларов. на коллективный иск. Предполагается, что USDoD получил базу данных от другого злоумышленника, использовавшего псевдоним «SXUL».

Эти данные предположительно были украдены из National Public Data, также известного как Jerico Pictures, и преступник утверждал, что они содержат записи о каждом человеке в трех странах. В то время вредоносный веб-сайт VX-Underground заявил, что этот дамп данных не содержит информации о людях, которые используют службы отказа от данных.

«Не все лица, использовавшие какой-либо сервис отказа от данных, присутствовали», — говорится в сообщении на сайте X.

SEE: Почти 10 миллиардов паролей утекли в крупнейшую подборку всех времен

Затем ряд киберпреступников опубликовали различные образцы этих данных, часто с разными записями и содержащими номера телефонов и адреса электронной почты. Но только в начале этого месяца пользователь под именем «Fenice» слил 2,7 миллиарда незашифрованных записей на сайте даркнета, известном как «Breached», в виде двух файлов CSV общим объемом 277 ГБ. Они не содержали номеров телефонов и адресов электронной почты, и Fenice заявил, что данные были получены из SXUL.

Поскольку с каждым человеком будет связано несколько записей, по одной для каждого из их предыдущих домашних адресов, взлом не раскрывает информацию о 2,7 миллиардах разных людей. Кроме того, по данным BleepingComputer, некоторые пострадавшие лица подтвердили, что SSN, связанный с их информацией в дампе данных, неверен.

BleepingComputer также обнаружил, что некоторые записи не содержат текущий адрес связанного лица, что говорит о том, что по крайней мере часть информации устарела. Однако другие подтвердили, что данные содержали законную информацию об их самих и членах их семей, включая тех, кто умер.

В коллективной жалобе также говорится, что National Public Data собирает персональные идентификационные данные миллиардов людей из непубличных источников для создания их профилей. Это означает, что пострадавшие могли не сознательно предоставлять свои данные. Те, кто живет в США, особенно вероятно, пострадают от этого нарушения в той или иной степени.

Эксперты, с которыми общался TechRepublic, рекомендуют лицам, пострадавшим от взлома, рассмотреть возможность мониторинга или заморозки своих кредитных отчетов и оставаться начеку в отношении фишинговых кампаний, нацеленных на их электронную почту или номер телефона.

Предприятия должны гарантировать, что все имеющиеся у них персональные данные зашифрованы и надежно хранятся. Они также должны внедрить другие меры безопасности, такие как многофакторная аутентификация, менеджеры паролей, аудит безопасности, обучение сотрудников и инструменты обнаружения угроз.

СМ.: Как избежать утечки данных

TechRepublic обратилась за ответом к National Public Data, базирующейся во Флориде. Однако компания еще не признала нарушение и не проинформировала пострадавших лиц. Существующие подробности инцидента были извлечены из материалов судебного иска, и в настоящее время компания находится под следствием Schubert Jonckheer & Kolbe LLP.

Истец Кристофер Хофманн сообщил, что 24 июля он получил уведомление от своего поставщика услуг по защите от кражи персональных данных, в котором говорилось, что его персональные данные были скомпрометированы в результате взлома «nationalpublicdata.com» и опубликованы в даркнете.

Что говорят эксперты по безопасности о взломе

Почему записи национальных публичных данных так ценны для киберпреступников?

Джон Миллер, генеральный директор и соучредитель платформы по борьбе с программами-вымогателями Halcyon, заявил, что ценность записей национальных публичных данных с точки зрения преступника заключается в том, что они были собраны и организованы.

В электронном письме изданию TechRepublic он сообщил: «Хотя информация в основном уже доступна злоумышленникам, им пришлось бы приложить немало усилий и затрат, чтобы собрать подобный набор данных, так что, по сути, NPD просто оказала им услугу, упростив задачу».

СМ.: Как организациям следует бороться с утечками данных

Орен Корен, CPO и соучредитель платформы безопасности Veriti, добавил, что информация об умерших людях может быть повторно использована в гнусных целях. Он сказал TechRepublic в электронном письме: «С этой «отправной точкой» человек может попытаться создать свидетельства о рождении, свидетельства о голосовании и т. д., которые будут действительными, поскольку у него есть часть необходимой информации, самой важной из которой является номер социального страхования».

Как можно остановить утечки агрегаторов данных?

Пол Бишофф, защитник конфиденциальности потребителей в исследовательской фирме Comparitech, сообщил TechRepublic в электронном письме: «Компании по проверке биографических данных, такие как National Public Data, по сути являются брокерами данных, которые собирают как можно больше идентифицируемой информации обо всех, о ком только могут, а затем продают ее тем, кто за это заплатит. Они собирают большую часть данных без ведома или согласия субъектов данных, большинство из которых понятия не имеют, что такое National Public Data или что они делают.

«Нам нужны более строгие правила и большая прозрачность для брокеров данных, которые обяжут их информировать субъектов данных, когда их информация добавляется в базу данных, ограничат веб-скрапинг и позволят субъектам данных просматривать, изменять и удалять данные.

«Национальные публичные данные и другие брокеры данных должны быть обязаны показывать субъектам данных, откуда изначально взялась их информация, чтобы люди могли предпринять упреждающие шаги для защиты своей конфиденциальности у источника. Более того, нет никаких причин, по которым скомпрометированные данные не должны были быть зашифрованы».

Миллер добавил: «Монетизация нашей личной информации, включая информацию о себе, которую мы решаем раскрыть публично, намного опережает правовую защиту, которая определяет, кто может собирать какую информацию, как ее можно использовать и, что наиболее важно, какова их ответственность за ее защиту».

Могут ли предприятия и частные лица защитить себя от утечки данных?

Крис Дейблер, вице-президент по безопасности компании-поставщика решений в области безопасности DataGrail, заявил, что многие принципы кибергигиены, доступные для предприятий и частных лиц, в данном случае не помогли бы.

В электронном письме TechRepublic он сообщил: «Мы приближаемся к пределу того, что люди могут разумно сделать, чтобы защитить себя в этой среде, и реальные решения должны приниматься на корпоративном и нормативном уровне, включая нормализацию регулирования конфиденциальности данных посредством международных соглашений.

«Сейчас баланс сил не в пользу отдельного человека. GDPR и различные государственные и национальные правила, которые вводятся в действие онлайн, — это хорошие шаги, но существующие сегодня модели профилактики и последствий явно не препятствуют массовому агрегированию данных».