
Près de 2,7 milliards d’enregistrements d’informations personnelles sur des personnes aux États-Unis ont été divulgués sur un forum de piratage, exposant les noms, les numéros de sécurité sociale, toutes les adresses physiques connues et les alias possibles.
Les données proviendraient de National Public Data, une entreprise qui collecte et vend l’accès à des données personnelles à des fins de vérification des antécédents, d’obtention de casiers judiciaires et d’enquêteurs privés.
On pense que les données publiques nationales extraient ces informations de sources publiques pour compiler des profils d’utilisateurs individuels pour des personnes aux États-Unis et dans d’autres pays.
En avril, un acteur de la menace connu sous le nom d’USDoD a affirmé vendre 2,9 milliards d’enregistrements contenant les données personnelles de personnes aux États-Unis, au Royaume-Uni et au Canada qui ont été volées à partir de données publiques nationales.
À l’époque, l’auteur de la menace a tenté de vendre les données pour 3,5 millions de dollars et a affirmé qu’elles contenaient des enregistrements pour chaque personne dans les trois pays.
USDoD est un acteur de la menace connu qui a déjà été lié à une tentative de vente de la base de données d’utilisateurs d’InfraGard en décembre 2023 pour 50 000$.
Breachtrace , à l’époque, a contacté National Public Data et n’a jamais reçu de réponse à notre e-mail.
Des données volées divulguées gratuitement
Depuis lors, divers acteurs de la menace ont publié des copies partielles des données, chaque fuite partageant un nombre différent d’enregistrements et, dans certains cas, des données différentes.
Le 6 août, un acteur de la menace connu sous le nom de « Fenice » a divulgué gratuitement la version la plus complète des données nationales de données publiques volées sur le forum de piratage piraté.
Cependant, Fenice affirme que la violation de données a été menée par un autre acteur de la menace nommé « SXUL », plutôt que par USDoD.

Les données divulguées consistent en deux fichiers texte totalisant 277 Go et contenant près de 2,7 milliards d’enregistrements en texte brut, plutôt que le nombre initial de 2,9 milliards initialement partagé par l’USDoD.
Bien que Breachtrace ne puisse pas confirmer si cette fuite contient les données de chaque personne aux États-Unis, de nombreuses personnes nous ont confirmé qu’elle incluait leurs informations légitimes et celles des membres de leur famille, y compris ceux qui sont décédés.
Chaque enregistrement comprend les informations suivantes – le nom d’une personne, ses adresses postales et son numéro de sécurité sociale, certains enregistrements incluant des informations supplémentaires, comme d’autres noms associés à la personne. Aucune de ces données n’est cryptée.
Des échantillons de ces données précédemment divulgués comprenaient également des numéros de téléphone et des adresses e-mail, mais ceux-ci ne sont pas inclus dans cette fuite record de 2,7 milliards.
Il est important de noter qu’une personne aura plusieurs enregistrements, un pour chaque adresse où elle est connue pour avoir habité. Cela signifie également que cette violation de données n’a pas eu d’impact sur 3 milliards de personnes, comme cela a été rapporté à tort dans de nombreux articles qui n’ont pas correctement recherché les données.
Certaines personnes ont également dit à Breachtrace que leurs numéros de sécurité sociale étaient associés à d’autres personnes qu’ils ne connaissent pas, donc toutes les informations ne sont pas exactes.
Enfin, ces données peuvent être obsolètes, car elles ne contiennent l’adresse actuelle d’aucune des personnes que nous avons vérifiées, indiquant potentiellement que les données ont été extraites d’une ancienne sauvegarde.
La violation de données a conduit à de multiples recours collectifs contre Jerico Pictures, qui est censé faire des affaires en tant que Données publiques nationales, pour ne pas protéger adéquatement les données des personnes.
Si vous vivez aux États-Unis, cette violation de données a probablement divulgué certaines de vos informations personnelles.
Comme les données contiennent des centaines de millions de numéros de sécurité sociale, il est suggéré de surveiller votre rapport de solvabilité pour détecter toute activité frauduleuse et de le signaler aux bureaux de crédit s’il est détecté.
De plus, comme les échantillons précédemment divulgués contenaient également des adresses e-mail et des numéros de téléphone, vous devez être vigilant contre le phishing et les SMS qui tentent de vous inciter à fournir des informations sensibles supplémentaires.