Quasi 2,7 miliardi di record contenenti dati personali pubblicati online su un forum di hacking
Negli Stati Uniti quasi 2,7 miliardi di record contenenti dati personali sono finiti online su un forum di hacking, rivelando nomi, numeri di previdenza sociale, tutti gli indirizzi fisici conosciuti e possibili alias.
Apparentemente i dati provengono dal National Public Data, una società che raccoglie e vende l'accesso ai dati personali da utilizzare nei controlli dei precedenti penali, per ottenere casellari giudiziali per indagini delle autorità e investigatori privati.
A quanto risulta, la National Public Data estrae queste informazioni da fonti pubbliche per compilare profili utente individuali per persone negli Stati Uniti e in altri paesi.
Nel mese di aprile, un hacker noto come USDoD aveva affermato di aver venduto 2,9 miliardi di record contenenti dati personali di persone negli Stati Uniti, nel Regno Unito e in Canada che erano stati rubati dalle banche dati della National Public Data. All’epoca, l’autore della minaccia tentò di vendere i dati per 3,5 milioni di dollari e affermò che contenevano i dati di ogni persona nei tre paesi. Da allora, vari autori di minacce hanno rilasciato copie parziali dei dati, e ciascuna fuga di dati condivideva un numero diverso di record e, in alcuni casi, dati diversi.
Il 6 agosto, un altro criminale informatico, noto come "Fenice", ha diffuso gratuitamente la versione più completa dei dati rubati National Public Data su un forum di hacking.
Tuttavia, Fenice afferma che la violazione dei dati è stata condotta da un altro attore di minacce denominato "SXUL", anziché da USDoD.
I dati trapelati consistono in due file di testo per un totale di 277 gigabyte e contenenti quasi 2,7 miliardi di record di testo in chiaro, anziché il numero originale di 2,9 miliardi originariamente condiviso da USDoD.
Secondo il sito specializzato in cybersecurity BleepingComputer, sebbene non sia possibile confermare se questi file contengano i dati di ogni persona negli Stati Uniti, sono molti che hanno confermato che essi includevano informazioni legittime su di loro e sui loro familiari, compresi coloro che nel frattempo sono deceduti.
Ogni record è costituito dalle seguenti informazioni: nome della persona, indirizzi postali e numero di previdenza sociale, con alcuni record che includono informazioni aggiuntive, come altri nomi associati alla persona, e nessuno di questi dati è crittografato.
Campioni di questi dati trapelati in precedenza includevano anche numeri di telefono e indirizzi e-mail, ma questi non sono inclusi in questa fuga record di 2,7 miliardi.
È importante notare che ogni persona coinvolta nel data leak risulta aver più record, uno per ciascun indirizzo a cui si sa che ha abitato. Ciò significa anche che questa violazione dei dati non ha avuto un impatto su 3 miliardi di persone, come è stato erroneamente riportato in molti articoli che non hanno indagato accuratamente sui dati.
Alcune persone hanno anche riferito a BleepingComputer che i loro numeri di previdenza sociale erano associati ad altre persone che non conoscono, quindi non tutte le informazioni sono accurate, e possono essere in parte obsolete.
Comunque, poiché i database contengono centinaia di milioni di numeri di previdenza sociale, è consigliato a chi vive negli USA di monitorare il proprio rapporto di credito per attività fraudolente e nel caso di segnalarlo alle agenzie di credito.
Inoltre, poiché i campioni trapelati in precedenza contenevano anche indirizzi e-mail e numeri di telefono, sarebbe opportuno prestare attenzione a messaggi di phishing e agli SMS che tentano di indurre le persone a fornire ulteriori informazioni sensibili con l'inganno.
