Les données publiques nationales du service de vérification des antécédents confirment que des pirates informatiques ont violé ses systèmes après que des acteurs de la menace ont divulgué une base de données volée contenant des millions de numéros de sécurité sociale et d’autres informations personnelles sensibles.

La société déclare que les données violées peuvent inclure des noms, des adresses électroniques, des numéros de téléphone, des numéros de sécurité sociale (SSN) et des adresses postales.

Violation liée à une tentative de piratage fin 2023
Dans la déclaration divulguant l’incident de sécurité, National Public Data indique que “les informations soupçonnées d’avoir été violées contenaient le nom, l’adresse e-mail, le numéro de téléphone, le numéro de sécurité sociale et la ou les adresses postales.”

La société reconnaît les “fuites de certaines données en avril 2024 et à l’été 2024” et estime que la violation est associée à un acteur menaçant “qui tentait de pirater des données fin décembre 2023.”

NPD dit qu’ils ont enquêté sur l’incident, coopéré avec les forces de l’ordre et examiné les dossiers potentiellement affectés. Si des développements importants se produisent, l’entreprise “essaiera d’informer” les personnes touchées.

Il convient de noter que les tests de Breachtrace ont révélé que l’accès à la déclaration de NPD sur l’incident de sécurité avait été bloqué pour les adresses IP dans de nombreux endroits aux États-Unis ainsi que dans des régions à l’extérieur du pays. Cependant, plus d’une douzaine de captures de la page existent sur Internet Archive.

Bien qu’une grande partie de la base de données volée dans National Public Data (NPD) ait été divulguée il y a 10 jours, des copies partielles avaient déjà été partagées par divers acteurs de la menace.

Les fuites ont commencé après qu’un acteur de la menace en avril utilisant l’alias USDoD a proposé de vendre pour 3,5 millions de dollars 2,9 milliards de documents prétendument volés à NPD.

Plus tôt ce mois – ci, un autre acteur de la menace connu sous le nom de Fenice a partagé gratuitement la variante la plus complète de la base de données avec 2,7 milliards d’enregistrements, plusieurs enregistrements faisant référence à une seule personne.

Des données publiques nationales divulguées sur un forum de piratage

On ne sait pas combien de personnes sont touchées, mais plusieurs personnes ont confirmé à Breachtrace que les dossiers comprenaient des détails sur eux ainsi que sur les membres de leur famille, y compris les personnes décédées.

Selon Troy Hunt, le créateur et responsable du service de recherche de données personnelles compromises Have I Been Pwned (HIBP), il y avait 134 millions d’adresses e-mail uniques dans une version de la base de données divulguée NPD qu’il a analysée.

Cependant, toutes les informations ne sont peut-être pas exactes. Les tests de Breachtrace ont montré que certaines personnes étaient associées au nom de quelqu’un d’autre.

L’analyse de Hunt de l’ensemble de données qu’il a reçu semble le confirmer, car il a trouvé l’une de ses adresses e-mail associée à deux dates de naissance uniques, aucune d’entre elles n’étant la sienne.

De plus, Breachtrace a constaté que certains détails de la base de données peuvent également être obsolètes, car ils n’incluent l’adresse actuelle d’aucune des personnes que nous avons vérifiées.

Mis à part les inexactitudes, l’incident du NPD a conduit à au moins un recours collectif contre Jerico Pictures, l’entité qui exploite le Service national de données publiques.

NPD est censé s’approvisionner en détails à partir de fichiers publics tels que les documents gouvernementaux (fédéraux, étatiques et locaux), qui comprennent tous les documents juridiques relatifs à un individu.

Les personnes touchées par la violation NPD doivent surveiller les comptes financiers à la recherche de signes d’activités potentiellement frauduleuses et les signaler aux bureaux de crédit.

Étant donné que les informations de contact sont présentes dans la fuite, il est également possible que des tentatives de phishing vous incitent à fournir des informations plus sensibles qui pourraient être utilisées pour des activités frauduleuses.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *