.
O corretor de dados no centro do que pode se tornar uma das violações mais significativas do ano está dizendo às autoridades que apenas 1,3 milhão de pessoas foram afetadas.
Em qualquer cenário normal, a notícia de um vazamento afetando 1,3 milhão de pessoas seria assustadora, mas esta é uma raridade, já que muitos investigadores estimaram um número muito, muito maior nas últimas semanas.
O National Public Data (NPD) sediado na Flórida confirmou o número de indivíduos afetados na sexta-feira por meio de um registro com o procurador-geral do Maine. Os registros exigem que as organizações listem o número total de indivíduos afetados e, separadamente, o número afetado somente no Maine.
A invasão digital, disse o NPD, ocorreu em dezembro de 2023, mas reconheceu que os vazamentos desses dados começaram em abril deste ano e continuaram durante todo o verão.
Esses vazamentos vieram pelas mãos de um criminoso que usa o apelido USDoD. Eles começaram a vender um banco de dados roubado supostamente composto de 2,9 bilhões de linhas de dados, supostamente referentes a cidadãos dos EUA, Canadá e Reino Unido, por US$ 3,5 milhões em abril.
Troy Hunt, venerável especialista em infosec e mantenedor do HaveIBeenPwned, examinou o banco de dados e encontrou 134 milhões de endereços de e-mail exclusivos. Então, a menos que cada uma das 1,3 milhões de pessoas afetadas tivesse 100 endereços de e-mail, o que é bem improvável, há uma chance de que mais pessoas sejam afetadas do que o que o NPD disse ao AG do Maine.
A situação também não vem sem precedentes. Não é incomum que organizações que divulgam violações de dados com autoridades estaduais dos EUA atualizem esses registros no futuro, à medida que as investigações sobre dados potencialmente comprometidos continuam.
Aconteceu com a Financial Business and Consumer Solutions (FBCS) em junho, quando atualizou sua notificação para refletir o escopo muito maior. Após divulgar anteriormente que 2 milhões de pessoas foram afetadas, posteriormente aumentou para 3,2 milhões.
“Parece ter havido um incidente de segurança de dados que pode ter envolvido algumas de suas informações pessoais”, dizem as cartas do NPD para os indivíduos afetados. “Acredita-se que o incidente tenha envolvido um terceiro malfeitor que estava tentando hackear dados no final de dezembro de 2023, com vazamentos potenciais de certos dados em abril de 2024 e no verão de 2024. Conduzimos uma investigação e informações subsequentes vieram à tona.
“As informações suspeitas de violação continham nome, endereço de e-mail, número de telefone, número de previdência social e endereço(s) para correspondência.
“Cooperamos com as autoridades policiais e investigadores governamentais e conduzimos uma revisão dos registros potencialmente afetados e tentaremos notificá-lo se houver mais desenvolvimentos significativos aplicáveis a você. Também implementamos medidas de segurança adicionais em esforços para evitar a recorrência de tal violação e para proteger nossos sistemas.”
A mesma redação foi usada em uma página da web de divulgação de violação que o NPD criou na semana passada, o que reacendeu o interesse no incidente. A página, no entanto, não declarou o número de indivíduos afetados como o arquivamento com o AG do Maine.
Além dos 134 milhões de endereços de e-mail exclusivos, Hunt também descobriu que dados de antecedentes criminais pareciam estar incluídos. 70 milhões deles, na verdade — algo que o NPD não incluiu em suas cartas de divulgação.
A Atlas Data Privacy, uma empresa que oferece aos clientes um serviço que remove seus dados de corretoras de dados como a NPD, também encontrou 272 milhões de números exclusivos de previdência social espalhados no vasto acervo de dados.
Foi descoberto que esses serviços realmente funcionam, já que ninguém que se registrou para eles teve seus dados misturados no vazamento, e que uma porção decente dos dados diz respeito a pessoas que não estão mais vivas. Milhões de registros pertencentes a pessoas que teriam mais de 120 anos apresentaram, por exemplo, com a idade média dos indivíduos afetados em 80. ®
.
