.
Uma empresa da Flórida praticamente confirmou que informações pessoais confidenciais de milhões de pessoas foram roubadas por criminosos cibernéticos e vazadas publicamente.
Essas informações, totalizando bilhões de registros, incluem nomes, números de Seguro Social, endereços físicos e de e-mail, e números de telefone de pessoas nos Estados Unidos, Reino Unido e Canadá. É o tipo de registro que os corretores de dados compram e vendem regularmente.
E agora está disponível na dark web para qualquer um baixar e usar para fraudes.
Em abril, criminosos usando o nome de usuário online USDoD escreveram em um fórum sobre crimes cibernéticos que estavam vendendo por US$ 3,5 milhões o que supostamente seriam 2,9 bilhões de registros, em vários arquivos em um arquivo de 277 GB, de cidadãos americanos, canadenses e britânicos, incluindo seus nomes e números de telefone e de previdência social mencionados acima, quando relevante, bem como seus históricos de endereço dos últimos 30 anos e detalhes de seus pais e parentes.
Esse silo de informações pessoais foi roubado de uma organização chamada National Public Data, ou NPD, uma pequena corretora de informações sediada em Coral Springs que oferece pesquisas de API para outras empresas para coisas como verificações de antecedentes. De acordo com o USDoD, os dados roubados foram coletados pela NPD entre 2019 e 2024. A empresa provavelmente obteve essas informações de registros públicos em nível local, estadual e federal.
Um ladrão cibernético usando o nome SXUL roubou as informações e as passou para o USDoD vender, o que gerou um processo contra o NPD no início deste mês.
Algumas das informações roubadas estavam vazando pela dark web em pedaços, embora na semana passada, alguém usando o identificador Fenice tenha despejado o que se diz ser 2,7 bilhões de registros dessa coleção na internet para qualquer um baixar de graça se souber onde procurar. Note que é um banco de dados com bilhões de linhas, não bilhões de indivíduos; há muitas imprecisões nos dados, assim como muitas pessoas mortas e duplicação.
Após semanas de silêncio, e inúmeras pessoas começando a receber alertas de serviços de privacidade e antifraude de que suas informações pessoais foram vazadas, o NPD, em linguagem cautelosa, confirmou que foi comprometido e que seus dados foram roubados e compartilhados. De acordo com o biz, ele foi saqueado em dezembro, e os vazamentos começaram em abril, levando até agora. De acordo com o USDoD, os dados foram passados pelo submundo do crime cibernético antes de acabarem à venda e agora em público.
“Parece ter ocorrido um incidente de segurança de dados que pode ter envolvido algumas de suas informações pessoais”, disse o NPD em um comunicado esta semana.
“Acredita-se que o incidente tenha envolvido um terceiro malfeitor que estava tentando hackear dados no final de dezembro de 2023, com possíveis vazamentos de certos dados em abril de 2024 e no verão de 2024”, acrescentou a empresa de verificação de antecedentes. “Conduzimos uma investigação e informações subsequentes vieram à tona.”
E continuou:
O NPD disse que está trabalhando com autoridades policiais e governamentais em vista desse roubo e prometeu proteger melhor sua TI: “Também implementamos medidas de segurança adicionais em esforços para evitar a recorrência de tal violação e proteger nossos sistemas”. Ele também recomendou que as pessoas colocassem alertas de fraude em seus arquivos de crédito para que qualquer uso indevido de seus dados pudesse ser detectado e interrompido.
Troy Hunt, do site HaveIBeenPwned.com, fez uma análise preocupante dos dados vazados aqui, na qual ele ressalta que o arquivo contendo os números de Previdência Social (SSNs) não inclui os endereços de e-mail das pessoas, então, se você receber um alerta de que seu endereço de e-mail apareceu na coleção divulgada do NPD, não presuma que seu SSN esteja lá.
Ele também percebeu que o arquivo inclui registros criminais e observou que o USDoD vazou pela dark web em maio 70 milhões desses registros.
Há 134 milhões de endereços de e-mail exclusivos no último vazamento do NPD, disse Hunt. E de acordo com estatísticas da Atlas Data Privacy, 272 milhões de SSNs exclusivos estão na coleção roubada, a maioria deles com um nome e endereço, e cerca de um quarto das vezes um número de telefone. A idade média é, curiosamente, 70.
Também foi especulado anteriormente que o banco de dados abrange basicamente pessoas que vivem nos Estados Unidos, algumas das quais serão, digamos, britânicas e canadenses, razão pela qual esses cidadãos acabaram no arquivo.
As pessoas também devem ficar atentas a criminosos que usam essas informações em tentativas de phishing. Além disso, lembre-se desse vazamento quando vir organizações (por exemplo, esta) usando seu nome, endereço e SSNs para fins de identificação, ou se você for solicitado a construir um sistema usando essas informações como entrada.
Por fim, como relatamos anteriormente, as pessoas que usam um serviço de exclusão de dados para manter suas informações fora de bancos de dados como o do NPD descobriram que seus detalhes não estavam entre os registros vazados, então, com base nisso, esses serviços funcionam. ®
.
