L’azienda la cui violazione dei dati ha lasciato i numeri di previdenza sociale di ogni americano esposti a criminali d’identità ha finalmente riconosciuto il furto di dati e ha affermato che gli hacker hanno ottenuto più informazioni sensibili di quanto precedentemente riportato.
National Public Data, una società con sede in Florida che raccoglie informazioni personali per controlli dei precedenti, ha pubblicato un avviso di “incidente di sicurezza” sul suo sito segnalando “potenziali fughe di determinati dati nell’aprile 2024 e nell’estate 2024”. La società ha affermato che la violazione sembra aver coinvolto una terza parte “che stava tentando di compromettere i dati alla fine di dicembre 2023”.
Secondo Azione legale collettiva Ad aprile, il gruppo di hacker USDoD, che ha intentato una causa presso il tribunale distrettuale degli Stati Uniti a Fort Lauderdale, in Florida, ha affermato di aver rubato i dati personali di circa 2,9 miliardi di persone dai dati pubblici nazionali. In un forum popolare tra gli hacker, il gruppo si è offerto di vendere i dati, che includevano documenti provenienti da Stati Uniti, Canada e Regno Unito, per 100 milioni di dollari. $ 3,5 milioniUn esperto di sicurezza informatica ha detto in un post su X.
La settimana scorsa, un presunto membro del Dipartimento della Difesa degli Stati Uniti, identificato solo come Phyllis, ha detto a un forum di hacking che stavano offrendo “Database NPD completo“Secondo uno screenshot scattato da BleepingComputer. Le informazioni consistono in circa 2,7 miliardi di record, ciascuno dei quali include il nome completo, l’indirizzo, la data di nascita, il numero di previdenza sociale e il numero di telefono di una persona, insieme a nomi e date di nascita alternativi. , affermò Phyllis.
Nessuna delle informazioni è crittografata.
Tale divulgazione potrebbe rappresentare un grosso problema. Ma secondo i dati pubblici nazionali, la violazione ha coinvolto anche gli indirizzi e-mail, un elemento fondamentale per i ladri di identità e i truffatori.
Avere l’indirizzo email di qualcuno rende più facile prenderlo di mira per attacchi di phishing, che tentano di indurre le persone a rivelare password di conti finanziari o a scaricare malware in grado di estrarre informazioni personali sensibili dai dispositivi. Inoltre, poiché molte persone utilizzano il proprio indirizzo e-mail per accedere agli account online, potrebbe essere utilizzato per tentare di dirottare tali account tramite la reimpostazione della password.
Non è ancora chiaro quale hack sia trapelato nel dark web. In un campione molto ristretto di sondaggi effettuati utilizzando Google One, gli indirizzi email rilevati durante la violazione dei dati pubblici nazionali non sono comparsi. Ma Strumento gratuito La società di sicurezza informatica Pentester ha scoperto che altri dati personali presumibilmente compromessi, compresi i numeri di previdenza sociale, si trovavano nel dark web.
L’Autorità nazionale per i dati pubblici ha dichiarato sul suo sito web che avviserà le persone se ci sono “ulteriori sviluppi importanti” che si applicano a loro. “Abbiamo anche implementato ulteriori misure di sicurezza nel tentativo di evitare che simili violazioni si ripetano e di proteggere i nostri sistemi”, ha aggiunto.
In precedenza, in un’e-mail inviata dalla società a persone che cercavano informazioni sui propri account, la società aveva affermato di aver “eliminato l’intero database, nel suo insieme, da qualsiasi voce, il che sostanzialmente significa che tutti non sono coinvolti”. Di conseguenza, ha affermato di aver cancellato qualsiasi “informazione personale non pubblica” sulle persone, anche se ha aggiunto: “Potremmo essere tenuti a conservare determinati registri per ottemperare agli obblighi legali”.
La società non ha risposto a una richiesta di commento. Leggi dentro ca Gli Stati Uniti e tutti gli altri paesi richiedono alle aziende di informare qualsiasi individuo le cui informazioni personali sensibili siano state ottenute in una violazione, ha affermato Timothy Toohey, responsabile della privacy e della sicurezza dei dati presso lo studio legale Greenberg Glusker di Los Angeles.
Tuohy ha affermato che non esiste una scadenza fissa per la notifica, ma solo l’aspettativa che venga effettuata rapidamente. Ma la portata di questo problema rappresenta una sfida per i dati pubblici nazionali, perché bisognerebbe capire quali individui colpiti sono ancora vivi e dove vivono attualmente, e quindi conformarsi ai requisiti specifici di quello stato.
“Logisticamente, è un po’ sconcertante”, ha detto Toohey.
A questo punto, sembra che l’unico avviso fornito da National Public Data sia la pagina sul suo sito web, che afferma: “Vi stiamo avvisando in modo che possiate intraprendere azioni che contribuiscano a ridurre o eliminare potenziali danni. Vi consigliamo vivamente di farlo adottare misure preventive per aiutare a prevenire e rilevare qualsiasi uso improprio delle tue informazioni.
Questo tipo di notifica non soddisferebbe i requisiti della legge della California, che richiede anche che qualsiasi violazione che coinvolga più di 500 residenti nello stato sia segnalata all’ufficio del procuratore generale dello stato, ha affermato Toohey.
I passaggi raccomandati dalle dichiarazioni pubbliche nazionali includono il controllo dei vostri conti finanziari per attività non autorizzate e l’inserimento di un avviso di frode gratuito sui vostri conti presso le tre principali agenzie di credito, Equifax, Esperiano E TransUnioneL’azienda informa che una volta inserito un avviso di frode sul tuo account, richiedi un rapporto di credito gratuito, quindi controlla la presenza di account e richieste che non riconosci. “Questi potrebbero essere segni di furto di identità.”
Finora, la società non ha offerto servizi gratuiti di monitoraggio del credito alle persone le cui informazioni sono state rubate, a differenza di altre società che hanno subito massicce violazioni dei dati. “Normalmente, con una notifica di violazione dei dati, fornisci qualcosa perché vuoi apparire proattivo e aiutare le persone”, ha detto Toohey.
“Il modo in cui le aziende vedono la situazione è che sia successo qualcosa di brutto. Ovviamente l’azienda si sente vittima, ma non è questa l’impressione del grande pubblico.”
Gli esperti di sicurezza consigliano inoltre di congelare i file di credito presso le tre principali agenzie di credito. Puoi farlo gratuitamente e impedirà ai criminali di contrarre prestiti, sottoscrivere carte di credito e aprire conti finanziari a tuo nome. Il problema qui è che dovrai ricordarti di revocare temporaneamente il blocco se stai ricevendo o richiedendo qualcosa che richiede un controllo del credito.
Nel frattempo, dicono gli esperti di sicurezza, assicurati che tutti i tuoi account online utilizzino l’autenticazione a due fattori per renderli più difficili da hackerare.
È anche importante cercare segnali che indichino che un’e-mail o un messaggio di testo non siano legittimi, poiché le “truffe di furto d’identità” sono comuni. Utilizzando messaggi camuffati da richieste urgenti provenienti dalla tua banca o dal tuo fornitore di servizi, queste truffe tentano di indurti con l’inganno a rinunciare alle tue chiavi di identità e forse ai tuoi risparmi. Qualsiasi richiesta di informazioni personali sensibili è una gigantesca bandiera rossa.
Alexander Valenti della società di sicurezza informatica Surfshark ha suggerito di controllare attentamente l’indirizzo e-mail del mittente per vedere se non corrisponde esattamente al nome dell’organizzazione che afferma di rappresentare e di cercare errori di battitura o grammaticali: due chiari segni di una truffa. E se il messaggio proviene da qualcuno con cui non hai mai interagito prima, ha detto Valenti, evita di fare clic sui collegamenti, incluso un collegamento o un pulsante “annulla iscrizione”, perché i malintenzionati li utilizzeranno per scopi dannosi.
“Se sospetti di aver ricevuto un’e-mail fraudolenta, non interagire con essa e segnalala al tuo fornitore di servizi di posta elettronica”, ha affermato Valenti. “Se la persona finge di essere un’organizzazione legittima, dovresti segnalarlo anche a quell’organizzazione. Una volta fatto, elimina l’e-mail e fai attenzione a e-mail simili in futuro.”
“Giocatore. Aspirante evangelista della birra. Professionista della cultura pop. Amante dei viaggi. Sostenitore dei social media.”