En agosto, un pirata informático vertió 2.700 millones de registros de datos, incluidos números de seguridad social, en un foro de la web oscura, en una de las mayores filtraciones de la historia.
Es posible que los datos hayan sido robados del servicio de verificación de antecedentes National Public Data hace al menos cuatro meses. Cada registro tiene el nombre de una persona, la dirección postal y el número de seguro social, pero algunos también contienen otra información confidencial, como nombres de familiares, según Bloomberg.
Cómo se robaron los datos
Esta violación está relacionada con un incidente del 8 de abril, cuando un conocido grupo cibercriminal llamado USDoD afirmó tener acceso a los datos personales de 2.900 millones de personas de EE. UU., Reino Unido y Canadá y estaba vendiendo la información por 3,5 millones de dólares, según a una demanda colectiva. Se cree que el USDoD obtuvo la base de datos de otro actor de amenazas utilizando el alias “SXUL”.
Estos datos supuestamente fueron robados de National Public Data, también conocidos como Jerico Pictures, y el criminal afirmó que contenían registros de cada persona en los tres países. En ese momento, el sitio web de malware VX-Underground dijo que este volcado de datos no contiene información sobre las personas que utilizan servicios de exclusión voluntaria de datos.
“Todas las personas que utilizaron algún tipo de servicio de exclusión voluntaria de datos no estaban presentes”, publicó en X.
VER: Casi 10 mil millones de contraseñas filtradas en la compilación más grande de todos los tiempos
Luego, varios ciberdelincuentes publicaron diferentes muestras de estos datos, a menudo con diferentes entradas y que contenían números de teléfono y direcciones de correo electrónico. Pero no fue hasta principios de este mes que un usuario llamado “Fenice” filtró 2.700 millones de registros no cifrados en el sitio web oscuro conocido como “Breached”, en forma de dos archivos csv con un total de 277 GB. Estos no contenían números de teléfono ni direcciones de correo electrónico, y Fenice dijo que los datos se originaron en SXUL.
Como cada individuo tendrá múltiples registros asociados, uno para cada una de sus direcciones particulares anteriores, la vulneración no expone información sobre 2.700 millones de personas diferentes. Además, según BleepingComputer, algunas personas afectadas han confirmado que el SSN asociado con su información en el volcado de datos no es correcto.
BleepingComputer también descubrió que algunos de los registros no contienen la dirección actual del individuo asociado, lo que sugiere que al menos una parte de la información está desactualizada. Sin embargo, otros han confirmado que los datos contenían información legítima suya y de sus familiares, incluidos aquellos que han fallecido.
La denuncia colectiva añadió que National Public Data extrae la información de identificación personal de miles de millones de personas de fuentes no públicas para crear sus perfiles. Esto significa que es posible que los afectados no hayan proporcionado sus datos a sabiendas. Es especialmente probable que quienes viven en Estados Unidos se vean afectados de alguna manera por esta infracción.
Los expertos con los que habló TechRepublic sugieren que las personas afectadas por la infracción deberían considerar monitorear o congelar sus informes crediticios y permanecer en alerta máxima ante campañas de phishing dirigidas a su correo electrónico o número de teléfono.
Las empresas deben asegurarse de que todos los datos personales que poseen estén cifrados y almacenados de forma segura. También deberían implementar otras medidas de seguridad, como autenticación multifactor, administradores de contraseñas, auditorías de seguridad, capacitación de empleados y herramientas de detección de amenazas.
VER: Cómo evitar una filtración de datos
TechRepublic se ha puesto en contacto con National Public Data, con sede en Florida, para obtener una respuesta. Sin embargo, aún no ha reconocido la infracción ni ha informado a las personas afectadas. Los detalles existentes sobre el incidente se extrajeron de los materiales de la demanda y la empresa está actualmente bajo investigación por parte de Schubert Jonckheer & Kolbe LLP.
El demandante nombrado, Christopher Hofmann, dijo que recibió una notificación de su proveedor de servicios de protección contra el robo de identidad el 24 de julio notificándole que su información personal había sido comprometida como resultado directo de la violación de “nationalpublicdata.com” y había sido publicada en la web oscura.
Lo que dicen los expertos en seguridad sobre la infracción
¿Por qué los registros de Datos Públicos Nacionales son tan valiosos para los ciberdelincuentes?
Jon Miller, director ejecutivo y cofundador de la plataforma anti-ransomware Halcyon, dijo que el valor de los registros de datos públicos nacionales desde la perspectiva de un delincuente proviene del hecho de que han sido recopilados y organizados.
Le dijo a TechRepublic en un correo electrónico: “Si bien la información ya está disponible en gran medida para los atacantes, habrían tenido que hacer todo lo posible y con un gran gasto para reunir una recopilación de datos similar, por lo que esencialmente NPD simplemente les hizo un favor al crearla”. más fácil.”
VER: Cómo las organizaciones deberían manejar las violaciones de datos
Oren Koren, CPO y cofundador de la plataforma de seguridad Veriti, añadió que la información sobre personas fallecidas podría reutilizarse con fines nefastos. Le dijo a TechRepublic en un correo electrónico: “Con este ‘punto de partida’, una persona puede intentar crear certificados de nacimiento, certificados de votación, etc., que serán válidos debido al hecho de que tienen parte de la información que necesitan, con la información más Uno importante es el número de seguro social”.
¿Cómo se pueden detener las infracciones de los agregadores de datos?
Paul Bischoff, defensor de la privacidad del consumidor en la firma de investigación tecnológica Comparitech, dijo a TechRepublic en un correo electrónico: “Las empresas de verificación de antecedentes como National Public Data son esencialmente intermediarios de datos que recopilan la mayor cantidad de información identificable posible sobre todas las personas que pueden y luego la venden a quien pague. por ello. Recopila gran parte de los datos sin el conocimiento o consentimiento de los interesados, la mayoría de los cuales no tienen idea de qué son o qué hacen los Datos Públicos Nacionales.
“Necesitamos regulaciones más estrictas y más transparencia para los intermediarios de datos que les exijan informar a los interesados cuando su información se agrega a una base de datos, limitar el web scraping y permitir a los interesados ver, modificar y eliminar datos.
“Se debería exigir a National Public Data y otros intermediarios de datos que muestren a los interesados de dónde provino originalmente su información para que las personas puedan tomar medidas proactivas para proteger su privacidad en la fuente. Además, no hay ninguna razón por la que los datos comprometidos no deban haber sido cifrados”.
Miller agregó: “La monetización de nuestra información personal, incluida la información que elegimos exponer públicamente sobre nosotros mismos, está muy por delante de las protecciones legales que rigen quién puede recopilar qué, cómo se puede utilizar y, lo más importante, cuál es su responsabilidad. protegiéndolo”.
¿Pueden las empresas y los individuos evitar convertirse en víctimas de una violación de datos?
Chris Deibler, vicepresidente de seguridad del proveedor de soluciones de seguridad DataGrail, dijo que muchos de los principios de ciberhigiene que están disponibles para empresas e individuos no habrían ayudado mucho en este caso.
Le dijo a TechRepublic en un correo electrónico: “Estamos alcanzando los límites de lo que las personas pueden hacer razonablemente para protegerse en este entorno, y las soluciones reales deben llegar a nivel corporativo y regulatorio, incluyendo la normalización de la regulación de la privacidad de los datos”. vía tratado internacional.
“El equilibrio de poder en este momento no favorece al individuo. El RGPD y las diversas regulaciones estatales y nacionales que están en línea son buenos pasos, pero los modelos de prevención y consecuencias vigentes hoy claramente no desincentivan la agregación masiva de datos”.
