На хакерском форуме опубликованы почти 2,7 млрд записей с личной информацией жителей США. Утечка раскрывает имена, номера социального страхования, все известные почтовые адреса и возможные псевдонимы пострадавших.
Предполагается, что все эти данные были получены от National Public Data, компании, которая собирает персональные данные, а затем продает доступ к ним для проведения биографических проверок, сбора информации о судимостях и работы частных детективов. Считается, что National Public Data собирает информацию из открытых источников, чтобы формировать индивидуальные профили на жителей США и других стран.
Издание Bleeping Computer рассказывает, что эта история начиналась еще весной текущего года. Так, в апреле 2024 года хакер под ником USDoD, заявил, что продает 2,9 млрд записей, содержащих личные данные граждан США, Великобритании и Канады, которые были похищены у National Public Data.
Тогда злоумышленник пытался продать данные за 3,5 млн долларов и утверждал, что в дампе содержатся записи о каждом жителе перечисленных стран. Еще в апреле журналисты пытались связаться с представителями National Public Data, однако так и не получил ответа.
После этой изначальной утечки разные злоумышленники публиковали частичные копии этого дампа, причем в каждой утечке фигурировало разное количество записей, а в некоторых случаях, различались и сами данные.
Теперь, 6 августа 2024 года, хакер под ником Fenice выложил в открытый доступ наиболее полную версию украденных у National Public Data данных на хак-форуме Breached. При этом Fenice утверждает, что информацию похитил не упомянутый выше USDoD, а другой злоумышленник, известный под псевдонимом SXUL.
Обнародованный Fenice дамп стоит из двух текстовых файлов общим объемом 277 ГБ, в которых содержится почти 2,7 млрд записей в открытом виде (но не 2,9 млрд, как исходно заявлял USDoD).
Хотя исследователи не могут подтвердить, что эта утечка содержит информацию о каждом жителе США, многие люди подтвердили изданию, что в дампе действительно можно найти реальную информацию как о них самих, так и членах их семей (включая уже умерших). Однако некоторые люди сообщили Bleeping Computer, что номера социального страхования в дампе связаны с другими людьми, которых они не знают, так что явно не вся информация в базе является точной.
Каждая запись содержит: имя человека, почтовый адрес и номер социального страхования. Также некоторые записи включают дополнительные сведения, например, другие имена, связанные с этим человеком. Ранее в утечку также входили номера телефонов и адреса электронной почты, но в дампе на 2,7 млрд записей их нет. При этом информация не зашифрована и подается открытым текстом.
Журналисты подчеркивают, что на одного человека может приходиться сразу несколько записей (по одной на каждый адрес, по которому он проживал). То есть утечка, разумеется, не затронула почти три миллиарда человек, как ошибочно сообщали ранее многие СМИ.
Также отмечается, что утечка может быть устаревшей, так как во многих случаях дамп не содержит текущего адреса проживания пострадавших. То есть данные могли быть взяты из неких старых бекапов.
Произошедшая еще весной утечка уже привела к подаче множества коллективных исков против компании Jerico Pictures, которая стоит за бизнесом National Public Data.
Представители издания резюмируют, что всем жителям США следует считать, что из-за атаки на National Public Data произошла утечка хотя бы части их персональных данных. Людям рекомендуют внимательно следить своей кредитной историей на предмет мошеннической активности, а также проявлять бдительность в отношении возможного фишинга по почте и через SMS, так как первые версии дампа включали email-адреса и номера телефонов.