En octobre 2013, BreachTrace a publié une histoire exclusive détaillant comment un Vietnamien dirigeant un service d’usurpation d’identité en ligne a acheté des dossiers personnels et financiers sur des Américains directement auprès d’une société appartenant à Expérian, l’un des trois principaux bureaux de crédit américains. L’histoire d’aujourd’hui examine plus en profondeur les dommages causés par ce faux pas colossal de l’un des plus grands courtiers en données du pays.

Le ressortissant vietnamien Hieu Minh Ngo a plaidé coupable la semaine dernière pour avoir dirigé le service de vol d’identité Superget.info.
La semaine dernière, Hieu Minh Ngo, un ressortissant vietnamien de 24 ans, a plaidé coupable d’avoir dirigé un service d’usurpation d’identité depuis son domicile au Vietnam. Ngo a été arrêté l’année dernière à Guam par Services secrets américains après avoir été incité à se rendre sur le territoire américain pour conclure un accord commercial avec un homme qui, selon lui, pourrait fournir d’énormes volumes de données personnelles et financières aux consommateurs pour les revendre.
Mais selon les procureurs, Ngo avait déjà conclu des accords avec l’un des plus grands courtiers en données au monde : Experian. Les archives judiciaires publiées la semaine dernière montrent que Ngo a trompé une filiale d’Experian en lui donnant accès direct aux données personnelles et financières de plus de 200 millions d’Américains.
HIEU CONNAÎT VOS SECRETS ?
Comme je l’ai signalé l’année dernière, les données n’ont pas été obtenues directement d’Experian, mais plutôt via Columbus, Ohio. Recherche d’informations sur les États-Unis. US Info Search avait un accord contractuel avec une société californienne nommée Court Ventures, par lequel les clients de Court Ventures avaient accès aux données US Info Search ainsi qu’aux données de Court Ventures, et vice versa.
Se faisant passer pour un détective privé opérant à partir de Singapour, Ngo a passé un contrat avec Court Ventures, payant son accès aux dossiers des consommateurs via des virements bancaires réguliers depuis une banque à Singapour. Grâce à ce contrat, Ngo a pu mettre à la disposition de ses clients l’accès à la base de données US Info Search contenant la sécurité sociale, la date de naissance et d’autres dossiers sur plus de 200 millions d’Américains.
Experian est entré en scène en mars 2012, lorsqu’il acheté Court Ventures (ainsi que tous ses clients, y compris M. Ngo). Pendant près de dix mois après la finalisation de cette acquisition par Experian, Ngo a continué à siphonner les données des consommateurs et à effectuer ses virements bancaires.
Jusqu’à la semaine dernière, le gouvernement avait partagé peu de détails sur l’étendue et la taille de la violation de données, comme le nombre d’Américains susceptibles d’avoir été ciblés par des voleurs utilisant le service d’usurpation d’identité de Ngo. Selon une transcription de la procédure de plaidoyer de culpabilité de Ngo obtenue par BreachTrace, L’activité de vol d’identité de Ngo a attiré plus de 1 300 clients qui ont payé au moins 1,9 million de dollars entre 2007 et février 2013 pour rechercher des numéros de sécurité sociale, des dates de naissance, des adresses, des adresses précédentes, des numéros de téléphone, des adresses e-mail et d’autres données sensibles.
Le gouvernement allègue que les clients du service ont utilisé les informations pour une variété de stratagèmes frauduleux, y compris le dépôt de déclarations de revenus frauduleuses sur les Américains, l’ouverture de nouvelles lignes de crédit et l’accumulation d’énormes factures au nom de victimes sans méfiance. La transcription montre que les enquêteurs du gouvernement ont découvert que sur une période de 18 mois se terminant en février 2013, les clients de Ngo ont effectué environ 3,1 millions de requêtes sur des Américains.
« À ce stade, le gouvernement ne sait pas combien de citoyens américains [personally identifiable information] a été compromise, même si ces informations seront disponibles dans un avenir proche », Procureur américain Arnold H. Huftalen Raconté Juge Paul J. Barbadoro devant le tribunal de district du New Hampshire plus tôt ce mois-ci. « Et nous ne savons pas parce que la façon dont le processus fonctionnait était qu’un mauvais acteur pouvait taper le nom d’un individu et d’un État… »
L’explication de Huftalen a été interrompue par le juge Barbadoro, qui a déclaré à la salle d’audience qu’il était en retard pour un autre engagement. Cependant, sur la base de ma propre expérience avec le service de Ngo, je pense que M. Huftalen essayait d’expliquer qu’en raison de la façon dont Ngo a mis en place son service d’usurpation d’identité – diversement nommé « Superget.info » et « findget.me » – chaque client la requête a en fait renvoyé plusieurs enregistrements.

Les abréviations « sourceid » du service d’usurpation d’identité Superget.info de Ngo pointaient vers Court Ventures.
Lorsque j’ai pris connaissance de Superget.info pour la première fois, j’ai effectué une recherche sur mes propres informations, demandant au service de Ngo de renvoyer toute information sur un Meguetaoui mohamed amine en Blida. Cette requête a produit plusieurs pages de résultats, chaque page contenant au moins dix enregistrements différents remplis de données personnelles sur plusieurs personnes, y compris mes enregistrements corrects. Pour révéler les données les plus sensibles de chaque enregistrement, y compris la date de naissance et le numéro de sécurité sociale, il suffisait de cliquer sur un lien dans chaque liste de la page ; chaque clic entraînerait la déduction d’un petit montant du solde du client.
Le fait est que chaque requête sur le service de Ngo exposait presque toujours plusieurs enregistrements. Cela signifie que si les clients de Ngo ont effectué 3,1 millions de requêtes individuelles, le nombre d’enregistrements exposés par le service de Ngo est susceptible d’avoir été plusieurs fois supérieur à ce nombre. potentiellement jusqu’à 30 millions d’enregistrements.
EXPERIAN : « NOUS ALLONS ASSURER QU’ILS SONT PROTÉGÉS »
Au-delà de la reconnaissance des grandes lignes des revendications du gouvernement contre Ngo, Experian a refusé de discuter de la question. « En raison d’une enquête fédérale en cours, il nous a été demandé de ne pas commenter au-delà des informations que nous avons déjà partagées pour nous assurer que rien n’entrave la progression de l’enquête », a déclaré la porte-parole d’Experian. Susan Henson a déclaré dans un communiqué envoyé par courrier électronique.

Tony Hadley d’Experian, s’adressant au Comité sénatorial du commerce en décembre 2013.
Les quelques déclarations publiques d’Experian concernant l’incident sont venues une audience en décembre dernier devant le Comité sénatorial du commerce, des sciences et des transports, qui examinait l’industrie des courtiers en données.
Lors de cette audience, La sénatrice du Missouri Claire McCaskill grillé Tony Hadley, vice-président directeur des affaires gouvernementales d’Experian. Tous les autres sénateurs du comité se sont concentrés sur la pratique d’Experian de profilage des consommateurs, mais McCaskill a utilisé son temps pour interroger Hadley spécifiquement sur le rôle de l’entreprise dans le service de vol d’identité de Ngo.
Hadley a reconnu qu’Experian n’avait pas effectué la diligence raisonnable nécessaire pour détecter les activités de Ngo avant ou à tout moment après l’acquisition de Court Ventures. En effet, Hadley a déclaré qu’Experian n’avait appris les activités de Ngo qu’après avoir été informé par les services secrets américains.
« Pendant le processus de diligence raisonnable, nous n’avions pas un accès total à toutes les informations dont nous avions besoin pour vérifier complètement cela, et au moment où nous avons appris le malversation, neuf mois s’étaient écoulés, et les services secrets sont venus nous voir et nous ont dit nous de l’incident », a déclaré Hadley à McCaskill et à d’autres membres du panel. « Nous avons été victimes et arnaqués par cette personne. »
Le sénateur démocrate du Missouri a riposté : « Eh bien, je dirais que les personnes dont toutes les identités ont été volées sont les vraies victimes. »
« Et nous savons qui ils sont, et nous allons nous assurer qu’ils sont protégés », a assuré Hadley au panel. Mais incroyablement, dans le souffle suivant, Hadley a semblé suggérer que personne n’avait prouvé ou allégué que l’un des disques que sa société avait vendus à Ngo avait causé un préjudice aux consommateurs.
« Il n’y a eu aucune allégation selon laquelle un préjudice est venu, heureusement, dans cette arnaque », a déclaré Hadley.
J’ai demandé à Experian d’expliquer les incohérences apparentes dans la déclaration de M. Hadley et de préciser si l’entreprise avait déjà commencé à offrir une protection ou un service à toute personne touchée par ce stratagème. Jusqu’à présent, la société a refusé de répondre à ces questions, citant l’enquête en cours.
Mais les preuves fournies par le gouvernement américain suggèrent fortement que de nombreuses personnes ont été blessées par le manque de diligence raisonnable d’Experian. S’adressant au tribunal lors de l’audience de plaidoyer de culpabilité de Ngo la semaine dernière, l’avocat américain Arnold H. Huftalen a déclaré qu’il était clair que les clients de Ngo avaient acheté des données à la société Experian avec l’intention de voler l’identité des consommateurs.
« Les services secrets américains ont mené des enquêtes sur nombre de ses clients, qui ont tous déclaré qu’ils n’avaient obtenu les informations de M. Ngo que pour se livrer à une fraude criminelle », a déclaré Huftalen. « La preuve établirait qu’à l’époque, M. Ngo savait qu’il fournissait les informations à d’autres pour qu’ils se livrent à une fraude. »
On ne sait toujours pas si Experian sera jamais tenu de répondre de sa surveillance coûteuse. M. Ngo, en revanche, risque une longue peine de prison. Il est accusé de fraude électronique, de fraude sur les appareils d’accès et d’usurpation d’identité. La peine de prison maximale possible pour les trois infractions combinées est de 45 ans. Ngo peut également être condamné à une amende pouvant aller jusqu’au double du gain brut résultant de ses infractions, ou au double de la perte pour les consommateurs, selon la valeur la plus élevée. Ngo devrait être condamné le 16 juin.