L'US National Public Data a publié par inadvertance les mots de passe de sa base de données back-end dans un fichier librement accessible depuis sa page d'accueil. Un rapport de KrebsOnSecurity montre que le fichier contenait le code source et les noms d'utilisateur et mots de passe en texte clair d'une société sœur de NPD, mais possédant des pages de connexion identiques. Cela aurait permis aux pirates d'accéder aux données privées de 272 millions de personnes.Depuis avril 2024, des rapports faisaient état d'une fuite massive de donnée provenant du piratage du National Public Data des États-Unis (NPD). Le NPD a confirmé l'existence d'une faille exposant les numéros de sécurité sociale et d'autres informations personnelles sensibles telles que les noms, les adresses électroniques, les numéros de téléphone et les adresses postales. Le NPD déclarait enquêter sur l'incident et "essaierait d'informer" les personnes potentiellement affectées.
De nouveaux détails émergent sur le piratage du National Public Data (NPD), un courtier en données de consommation qui a récemment mis en ligne les numéros de sécurité sociale, les adresses et les numéros de téléphone de centaines de millions d'Américains. KrebsOnSecurity a appris qu'un autre courtier en données du NPD qui partage l'accès aux mêmes dossiers de consommateurs a publié par inadvertance les mots de passe de sa base de données back-end dans un fichier qui était jusqu'à aujourd'hui disponible en téléchargement gratuit sur sa page d'accueil.
L'US National Public Data aurait publié ses propres mots de passe
En avril, un cybercriminel nommé USDoD a commencé à vendre des données volées à NPD. En juillet, quelqu'un a divulgué ce qui avait été volé, notamment les noms, adresses, numéros de téléphone et, dans certains cas, les adresses électroniques de plus de 272 millions de personnes (dont beaucoup sont aujourd'hui décédées).
Le NPD a reconnu la faille le 12 août, indiquant qu'elle remontait à un incident de sécurité survenu en décembre 2023. Dans une interview accordée la semaine dernière, l'USDoD a attribué la violation de juillet à un autre pirate informatique malveillant qui avait également accédé à la base de données de l'entreprise. Cette base de données circule sous le radar depuis décembre 2023.
Selon le rapport de KrebsOnSecurity, une propriété sœur de NPD - le service de recherche d'antécédents recordscheck.net - hébergeait une archive contenant les noms d'utilisateur et les mots de passe de l'administrateur du site. L'examen de ces archives, qui étaient disponibles sur le site de RecordsCheck jusqu'à la veille de leur publication ce matin (19 août), montre qu'elles contiennent le code source et les noms d'utilisateur et mots de passe en texte clair pour diverses parties de recordscheck.net, qui ressemble visuellement à nationalpublicdata.com et possède des pages de connexion identiques.
L'archive exposée, appelée "members.zip", indique que tous les utilisateurs de RecordsCheck ont initialement reçu le même mot de passe à six caractères et ont été invités à le changer, mais beaucoup ne l'ont pas fait. Selon le service de suivi des violations Constella Intelligence, les mots de passe contenus dans l'archive du code source sont identiques aux identifiants de connexion exposés lors de précédentes violations de données impliquant des comptes de messagerie appartenant au fondateur de NPD, un acteur et un adjoint du shérif de Floride à la retraite, Salvatore "Sal" Verini.
M. Verini a déclaré par courriel que l'archive exposée contenant les identifiants recordscheck.net a été supprimée du site Web de l'entreprise et que le site devrait cesser ses activités "d'ici une semaine environ". "En ce qui concerne le fichier .zip, il a été supprimé, mais il s'agissait d'une ancienne version du site dont le code et les mots de passe étaient cassés", a déclaré M. Verini à KrebsOnSecurity. "En ce qui concerne votre question, il s'agit d'une enquête en cours, que nous ne pouvons pas commenter pour le moment."
La fuite du code source de recordscheck.net indique que le site a été créé par une société de développement web basée à Lahore, au Pakistan, appelée creationnext.com. La page d'accueil de CreationNext.com contient un témoignage positif de Sal Verini. Plusieurs sites web ont été créés pour aider les gens à savoir si leur BSN et d'autres données ont été exposées dans le cadre de cette violation. L'un d'entre eux est npdbreach.com, une page de recherche créée par Atlas Data Privacy Corp. Un autre service de recherche est disponible sur npd.pentester.com. Les deux sites montrent que NPD disposait de données anciennes et largement inexactes sur Yours Truly.
Il est également intéressant de noter qu'il existe de nombreux services cybercriminels qui proposent des vérifications détaillées des antécédents des consommateurs, y compris des numéros de sécurité sociale complets. Ces services sont alimentés par des comptes compromis avec des courtiers en données qui ciblent les enquêteurs privés et les forces de l'ordre, et certains sont maintenant entièrement automatisés via des bots de messagerie instantanée Telegram.
En novembre 2023, KrebsOnSecurity a fait état d'un de ces services, qui était alimenté par des comptes piratés chez le courtier en données de consommation américain USInfoSearch.com. Ce cas est remarquable car le code source divulgué indique que RecordsCheck demandait des rapports d'antécédents sur des personnes en interrogeant la base de données d'USInfoSearch et les données du NPD.
KrebsOnSecurity partage quelques conseils en réponse à cet incident :
Le meilleur conseil que l'on puisse donner à ceux qui s'inquiètent de cette violation est de geler leur dossier de crédit auprès de chacune des principales agences d'évaluation du crédit. En gelant votre dossier, il est beaucoup plus difficile pour les usurpateurs d'identité de créer de nouveaux comptes en votre nom et cela limite le nombre de personnes qui peuvent consulter vos informations de crédit.
Le gel est une bonne idée car toutes les informations dont les voleurs d'identité ont besoin pour usurper votre identité sont aujourd'hui largement disponibles auprès de multiples sources. Cela est dû à la multitude de violations de données et qui concernent les numéros de sécurité sociale et d'autres données statiques importantes sur les individus.
Le fait est que si vous êtes un Américain qui n'a pas gelé ses dossiers de crédit et que vous n'avez pas subi de fraude sur un nouveau compte, les voleurs d'identité n'ont probablement pas encore réussi à vous atteindre.
Tous les Américains ont également droit à une copie gratuite de leur rapport de solvabilité chaque semaine de la part de chacun des trois principaux bureaux de crédit. Auparavant, les consommateurs étaient autorisés à recevoir un rapport gratuit par an de chacun des bureaux, mais en octobre 2023, la Federal Trade Commission a annoncé que les bureaux ont étendu de manière permanente un programme qui vous permet de consulter gratuitement votre rapport de crédit une fois par semaine.
Si vous ne l'avez pas fait depuis longtemps, c'est le moment idéal pour commander vos dossiers. Pour placer un gel, vous devez ouvrir un compte auprès de chacune des trois principales agences d'évaluation du crédit, Equifax, Experian et TransUnion. Une fois que vous avez ouvert un compte, vous devriez être en mesure de consulter et de geler votre dossier de crédit. Si vous constatez des erreurs, telles que des adresses et des numéros de téléphone aléatoires que vous ne reconnaissez pas, ne les ignorez pas. Contestez toutes les inexactitudes que vous trouvez.
Et vous ?
Pensez-vous que le rapport de KrebsOnSecurity est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Des pirates informatiques pourraient avoir divulgué les numéros de sécurité sociale de millions d'Américains, ainsi que leurs noms complets, leurs adresses physiques et leurs pseudonymes potentiels Augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomware en 2023, en raison de l'impact massif des attaques qui exploitent des vulnérabilités de type "zero-day" Une fuite massive expose plus de 26 milliards d'enregistrements et est qualifiée de "mère de toutes les brèches" par les chercheurs. Elle comprend des données provenant de Dropbox, LinkedIn, etc. 
