Les violations de données sont un fléau apparemment sans fin et sans réponse simple, mais la violation survenue ces derniers mois du service de vérification des antécédents National Public Data l’illustre. à quel point c’est dangereux et intraitable Et après quatre mois d’ambiguïté, la situation commence seulement à se préciser avec les données publiques nationales enfin disponibles. reconnaissant la violation s’est produite lundi, juste au moment où une grande partie des données volées a été divulguée publiquement en ligne.
En avril, un pirate informatique connu pour vendre des informations volées, connu sous le nom d’USDoD, a commencé à vendre sur des forums de cybercriminalité une mine de données pour 3,5 millions de dollars, qui, selon eux, comprenait 2,9 milliards d’enregistrements et affectait « l’ensemble de la population des États-Unis, de la Californie et du Royaume-Uni ». Au fil des semaines, des échantillons de données ont commencé à apparaître tandis que d’autres acteurs et chercheurs légitimes s’efforçaient de comprendre sa source et de valider les informations. Début juin, il était il est clair qu’au moins certaines des données étaient légitimes et contenait des informations telles que des noms, des e-mails et des adresses physiques dans diverses combinaisons.
Les données ne sont pas toujours exactes, mais elles semblent contenir deux types d’informations. L’une comprend plus de 100 millions d’adresses e-mail légitimes ainsi que d’autres informations, et l’autre comprend les numéros de sécurité sociale mais aucune adresse e-mail.
« Il semble qu’un incident de sécurité des données ait pu concerner certaines de vos informations personnelles », a écrit lundi National Public Data. « On pense que l’incident a impliqué un tiers malveillant qui a tenté de pirater des données fin décembre 2023, avec des fuites potentielles de certaines données en avril 2024 et à l’été 2024… Les informations soupçonnées d’avoir été piratées contenaient le nom, l’adresse électronique, le numéro de téléphone, le numéro de sécurité sociale et l’adresse(s) postale(s). »
La société affirme avoir coopéré avec « les forces de l’ordre et les enquêteurs gouvernementaux ». NPD est face à d’éventuelles actions collectives sur la brèche.
« Nous sommes devenus insensibles aux fuites incessantes de données personnelles, mais je dirais qu’il existe un risque sérieux », déclare Jeremiah Fowler, chercheur en sécurité qui suit la situation avec National Public Data. « Le risque ne sera peut-être pas immédiat, et il faudra peut-être des années à l’un des nombreux acteurs criminels pour comprendre comment utiliser ces informations, mais le fait est qu’une tempête se prépare. »
Lorsque des informations sont volées à partir d’une seule source, comme Les données des clients de Target sont volées à Targetil est relativement simple d’établir cette source. Mais lorsque des informations sont volées à un courtier en données et que l’entreprise ne dénonce pas l’incident, il est beaucoup plus compliqué de déterminer si les informations sont légitimes et d’où elles proviennent. En règle générale, les personnes dont les données sont compromises lors d’une violation (les véritables victimes) ne savent même pas que National Public Data détenait leurs informations en premier lieu.
Dans un article de blog publié mercredi sur le contenu et la provenance du trésor national de données publiques, le chercheur en sécurité Troy Hunt a écrit« Les seules parties qui connaissent la vérité sont les acteurs anonymes de la menace qui transmettent les données et l’agrégateur de données… Il nous reste 134 millions d’adresses e-mail en circulation publique sans origine ni responsabilité claires. »