.
Um processo acusou um corretor de dados da Flórida de negligentemente não proteger bilhões de registros de informações privadas de pessoas, que foram posteriormente roubadas do negócio e vendidas em um mercado criminoso online.
O residente da Califórnia Christopher Hofmann entrou com a potencial queixa de ação coletiva contra a Jerico Pictures, fazendo negócios como National Public Data, uma empresa sediada em Coral Springs que fornece APIs para que as empresas possam realizar coisas como verificações de antecedentes de pessoas e consultar os registros criminais delas. Como tal, a National Public Data detém muitas informações altamente pessoais, que acabaram sendo roubadas em um ataque cibernético.
De acordo com o processo [PDF]registrado em um tribunal distrital federal do sul da Flórida, Hofmann é um dos indivíduos cujas informações confidenciais foram roubadas por criminosos e depois colocadas à venda por US$ 3,5 milhões em um fórum do submundo em abril.
Se os ladrões forem verdadeiros, o banco de dados incluía 2,9 bilhões de registros de todos os cidadãos dos EUA, Canadá e Reino Unido, incluindo seus nomes completos, endereços e histórico de endereços de pelo menos três décadas, números de previdência social e os nomes de seus pais, irmãos e parentes, alguns dos quais já morreram há quase 20 anos.
Comprometido, publicado e depois vendido na dark web, devido a atos negligentes e/ou descuidados do réu
Acredita-se que um ladrão digital usando o nome SXUL extraiu os arquivos do National Public Data e os repassou para uma gangue criminosa chamada USDoD, que agiu como corretora de dados dos bens roubados e garantiu aos possíveis compradores que nenhuma das informações roubadas foi obtida de fontes públicas.
Hofmann, no processo de 1º de agosto, diz que recebeu uma notificação de seu serviço de proteção contra roubo de identidade por volta de 24 de julho, notificando-o de que suas informações de identificação pessoal (PII) tinham acabado na dark web.
Ele alega que nunca forneceu essas informações confidenciais ao National Public Data e “acredita que suas informações de identificação pessoal foram obtidas de fontes não públicas pelo réu”.
Na verdade, o corretor de dados coleta informações pessoais de “potencialmente bilhões” de pessoas, nenhuma das quais forneceu suas informações ao National Public Data, o processo, que faz referência O registro‘s, alega. “Ao obter, coletar, usar e derivar um benefício das PII do autor e dos membros da classe, o réu assumiu deveres legais e equitativos para com esses indivíduos para proteger e salvaguardar essas informações de acesso não autorizado e intrusão”, observa.
E é aqui que a National Public Data, supostamente falhou miseravelmente. A empresa da Flórida é acusada de armazenar negligentemente o banco de dados de uma forma que era acessível aos ladrões, sem criptografar seu conteúdo nem redigir nenhuma informação sensível dos indivíduos.
“Essas PII não criptografadas e não editadas foram comprometidas, publicadas e depois vendidas na dark web, devido a atos e omissões negligentes e/ou descuidados do réu e sua total falha em proteger os dados confidenciais dos clientes”, alega a queixa legal.
E os dados roubados, que podem ser usados para roubo de identidade, fraude digital e até mesmo perseguição e assédio físico, representam um “risco contínuo para as vítimas” que “permanecerá por toda a vida”, alega o processo.
Hofmann, em nome de potencialmente milhões de outros demandantes, pediu ao tribunal que exija que a National Public Data destrua todas as informações pessoais pertencentes aos membros da ação coletiva e use criptografia, entre outros métodos de proteção de dados no futuro.
O processo também quer que a empresa de verificação de antecedentes implemente um programa de segurança da informação e treinamento de funcionários para ajudar a proteger a confidencialidade das pessoas, e pede ao juiz que exija que a National Public Data contrate auditores terceirizados e testadores de penetração para garantir que criminosos não consigam invadir sua rede e roubar mais bancos de dados enormes.
Além disso, busca reparação monetária não especificada para as vítimas de roubo de dados, incluindo “danos reais, estatutários, nominais e consequentes”.
Solicitamos comentários da National Public Data. ®
.
