Une enquête exclusive de BreachTrace détaillant comment une unité de bureau de crédit Expérian a fini par vendre des dossiers de consommateurs à un service d’usurpation d’identité dans le milieu de la cybercriminalité a déclenché une enquête multi-États par plusieurs procureurs généraux, selon des dépêches.
Service d’usurpation d’identité d’ONG, superget.info
Reuter déplacé un récit cet après-midi en citant La procureure générale de l’Illinois, Lisa Madigan disant que « cela fait partie d’une enquête multi-états », et que Procureur général du Connecticut, George Jepsen a déclaré que le Connecticut se penchait également sur la question.
La nouvelle de la violation est apparue pour la première fois sur ce blog en octobre 2013, lorsque BreachTrace a publié une histoire exclusive détaillant comment un Vietnamien dirigeant un service d’usurpation d’identité en ligne a acheté des dossiers personnels et financiers sur des Américains directement auprès d’une société appartenant à Experian, l’un des trois principaux bureaux de crédit américains.
Hieu Minh Ngo, un ressortissant vietnamien de 24 ans, a plaidé coupable le mois dernier d’avoir dirigé un service d’usurpation d’identité depuis son domicile au Vietnam. Ngo a été arrêté l’année dernière à Guam par Services secrets américains après avoir été incité à se rendre sur le territoire américain pour conclure un accord commercial avec un homme qui, selon lui, pourrait fournir d’énormes volumes de données personnelles et financières aux consommateurs pour les revendre.
Mais selon les procureurs, Ngo avait déjà conclu des accords avec l’un des plus grands courtiers en données au monde : Experian. Les archives judiciaires publiées la semaine dernière montrent que Ngo a trompé une filiale d’Experian en lui donnant accès direct aux données personnelles et financières de plus de 200 millions d’Américains.
Selon les enquêteurs du gouvernement américain, les données n’ont pas été obtenues directement d’Experian, mais plutôt via Columbus, Ohio. Recherche d’informations sur les États-Unis. US Info Search avait un accord contractuel avec une société californienne nommée Court Ventures, par lequel les clients de Court Ventures avaient accès aux données US Info Search ainsi qu’aux données de Court Ventures, et vice versa. Experian est entré en scène en mars 2012, lorsqu’il acheté Court Ventures (ainsi que tous ses clients, y compris M. Ngo). Pendant près de dix mois après la finalisation de cette acquisition par Experian, Ngo a continué à siphonner les données des consommateurs et à effectuer ses virements bancaires.
Une transcription (PDF) de la procédure de plaidoyer de culpabilité de Ngo obtenue par BreachTrace montre que son entreprise de vol d’identité a attiré plus de 1 300 clients qui ont payé au moins 1,9 million de dollars entre 2007 et février 2013 pour rechercher des numéros de sécurité sociale, des dates de naissance, des adresses, des adresses, numéros de téléphone, adresses e-mail et autres données sensibles sur plus de trois millions d’Américains.