Le National Public Data des États-Unis confirme l'existence d'une faille exposant les numéros de sécurité sociale et d'autres informations personnelles sensibles telles que les noms, les adresses électroniques, les numéros de téléphone et les adresses postales. Le NPD déclare avoir enquêté sur l'incident, coopéré avec les forces de l'ordre et examiné les dossiers potentiellement affectés. En cas d'évolution significative, l'entreprise "essaiera d'informer" les personnes concernées.D'après de récents rapports, les informations personnelles volées au courtier en données National Public Data seraient toujours en cours de divulgation. Il s'agit de l'une des plus grandes violations de données jamais survenues. Un nouveau fichier publié comprend 2,7 milliards d'enregistrements d'informations personnelles, dont les noms, les numéros de sécurité sociale, les pseudonymes potentiels et toutes les adresses physiques où elles ont vécu. Le fichier a été partagé gratuitement par un prétendu membre du groupe de cybercriminels à l'origine du piratage de National Public Data sur une place de marché en ligne pour les données personnelles volées.
En réponse à cela, le service de vérification des antécédents National Public Data confirme que des pirates informatiques se sont introduits dans ses systèmes après que des acteurs de la menace ont divulgué une base de données volée contenant des millions de numéros de sécurité sociale et d'autres informations personnelles sensibles. L'entreprise précise que les données divulguées peuvent inclure des noms, des adresses électroniques, des numéros de téléphone, des numéros de sécurité sociale (SSN) et des adresses postales.
La société reconnaît les "fuites de certaines données en avril 2024 et en été 2024" et pense que la violation est associée à un acteur de la menace "qui essayait de pirater les données à la fin du mois de décembre 2023." Le NPD déclare avoir enquêté sur l'incident, coopéré avec les forces de l'ordre et examiné les dossiers potentiellement affectés. En cas d'évolution significative, l'entreprise "essaiera d'informer" les personnes concernées.
Il convient de noter que des tests ont révélé que l'accès à la déclaration du NPD sur l'incident de sécurité a été bloqué pour des adresses IP dans de nombreux endroits aux États-Unis ainsi que dans des régions à l'extérieur du pays. Plus d'une douzaine de captures de la page existent cependant sur l'Archive d'Internet.
Bien qu'une grande partie de la base de données volée à National Public Data (NPD) ait fait l'objet d'une fuite il y a dix jours, des copies partielles avaient déjà été partagées par divers acteurs de la menace. Les fuites ont commencé après qu'un acteur utilisant le pseudonyme USDoD a proposé en avril de vendre pour 3,5 millions de dollars 2,9 milliards d'enregistrements prétendument volés à NPD. Au début du mois, un autre acteur connu sous le nom de Fenice a partagé gratuitement la variante la plus complète de la base de données, avec 2,7 milliards d'enregistrements, dont plusieurs se rapportent à une seule personne.
On ne sait pas exactement combien de personnes sont concernées, mais plusieurs personnes ont confirmé que les enregistrements comprenaient des détails les concernant ainsi que des membres de leur famille, y compris des personnes décédées. Par exemple, Troy Hunt déclare qu'il y avait 134 millions d'adresses électroniques uniques dans une version de la base de données de la NPD qu'il a analysée. L'analyse par Hunt de l'ensemble des données qu'il a reçues semble le confirmer, puisqu'il a trouvé l'une de ses adresses électroniques associée à deux dates de naissance uniques, dont aucune n'est la sienne.
Cependant, toutes les informations ne sont pas nécessairement exactes. D'autres tests ont montré que certaines personnes étaient associées à un autre nom. En outre, on a constaté que certains détails de la base de données pouvaient également être obsolètes, puisqu'elle ne contient l'adresse actuelle d'aucune des personnes que nous avons vérifiées.
Les inexactitudes mises à part, l'incident NPD a donné lieu à au moins un recours collectif contre Jerico Pictures, l'entité qui exploite le service National Public Data. On pense que les données de NPD proviennent de fichiers publics tels que les archives gouvernementales (fédérales, étatiques et locales), qui comprennent tous les documents juridiques relatifs à une personne.
Les personnes touchées par la faille de NPD doivent surveiller leurs comptes financiers pour détecter les signes d'une activité potentiellement frauduleuse et les signaler aux agences d'évaluation du crédit. Les informations de contact étant présentes dans la fuite, il est également possible qu'il y ait des tentatives d'hameçonnage pour vous inciter à fournir des détails plus sensibles qui pourraient être utilisés pour des activités frauduleuses.
Source : US National Public Data
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Des pirates informatiques pourraient avoir divulgué les numéros de sécurité sociale de millions d'Américains, ainsi que leurs noms complets, leurs adresses physiques et leurs pseudonymes potentiels L'une des plus grandes violations de données jamais survenues expose les informations sensibles de 2,9 milliards de personnes sur le dark Web, et relance le débat sur les préoccupations liées au Web scraping Augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomware en 2023, en raison de l'impact massif des attaques qui exploitent des vulnérabilités de type "zero-day"
