En agosto, un hacker volcó 2.700 millones de registros de datos, incluidos números de seguridad social, en un foro de la dark web, en una de las mayores infracciones de la historia. Los datos pueden haber sido robados del servicio de verificación de antecedentes National Public Data hace al menos cuatro meses. Cada registro tiene el nombre de una persona, la dirección postal y el SSN, pero algunos también contienen otra información confidencial, como los nombres de los familiares, según Bloomberg. Cómo se robaron los datos Esta violación está relacionada con un incidente del 8 de abril, cuando un conocido grupo cibercriminal llamado USDoD afirmó tener acceso a los datos personales de 2.900 millones de personas de EE. UU., Reino Unido y Canadá y estaba vendiendo la información por 3,5 millones de dólares, según una denuncia colectiva. Se cree que USDoD obtuvo la base de datos de otro actor de amenazas que usa el alias «SXUL». Estos datos supuestamente fueron robados de National Public Data, también conocido como Jerico Pictures, y el delincuente afirmó que contenían registros de cada persona en los tres países. En ese momento, el sitio web de malware VX-Underground dijo que este volcado de datos no contiene información sobre las personas que usan servicios de exclusión voluntaria de datos. «No todas las personas que usaron algún tipo de servicio de exclusión voluntaria de datos estaban presentes», publicó en X. VER: Casi 10 mil millones de contraseñas filtradas en la mayor recopilación de todos los tiempos Varios cibercriminales publicaron entonces diferentes muestras de estos datos, a menudo con diferentes entradas y que contenían números de teléfono y direcciones de correo electrónico. Pero no fue hasta principios de este mes que un usuario llamado «Fenice» filtró 2.7 mil millones de registros sin cifrar en el sitio web oscuro conocido como «Breached», en forma de dos archivos csv con un total de 277 GB. Estos no contenían números de teléfono ni direcciones de correo electrónico, y Fenice dijo que los datos se originaron en SXUL. Un usuario llamado «Fenice» filtró 2.7 mil millones de registros sin cifrar en el sitio web oscuro «BreachedForums», en forma de dos archivos csv con un total de 277 GB. Fuente: BleepingComputer Como cada individuo tendrá múltiples registros asociados a ellos, uno para cada una de sus direcciones de domicilio anteriores, la violación no expone información sobre 2.7 mil millones de personas diferentes. Además, según BleepingComputer, algunas personas afectadas han confirmado que el SSN asociado con su información en el volcado de datos no es correcto. BleepingComputer también encontró que algunos de los registros no contienen la dirección actual del individuo asociado, lo que sugiere que al menos una parte de la información está desactualizada. Sin embargo, otros han confirmado que los datos contenían información legítima de ellos y de sus familiares, incluidos los fallecidos. La demanda colectiva agregó que National Public Data extrae la información de identificación personal de miles de millones de personas de fuentes no públicas para crear sus perfiles. Esto significa que los afectados pueden no haber proporcionado sus datos a sabiendas. Es particularmente probable que quienes viven en los EE. UU. Se vean afectados por esta violación de alguna manera. Los expertos con los que habló TechRepublic sugieren que las personas afectadas por la violación deberían considerar monitorear o congelar sus informes crediticios y permanecer en alerta máxima ante campañas de phishing dirigidas a su correo electrónico o número de teléfono. Las empresas deben asegurarse de que todos los datos personales que poseen estén cifrados y almacenados de forma segura. También deben implementar otras medidas de seguridad como autenticación multifactor, administradores de contraseñas, auditorías de seguridad, capacitación de empleados y herramientas de detección de amenazas. VER: Cómo evitar una violación de datos TechRepublic se ha comunicado con National Public Data, con sede en Florida, para obtener una respuesta. Sin embargo, aún no ha reconocido la violación ni ha informado a las personas afectadas. Los detalles existentes sobre el incidente se han extraído de los materiales de la demanda, y la empresa está siendo investigada actualmente por Schubert Jonckheer & Kolbe LLP. El demandante identificado, Christopher Hofmann, dijo que recibió una notificación de su proveedor de servicios de protección contra el robo de identidad el 24 de julio notificándole que su información personal se había visto comprometida como resultado directo de la violación de «nationalpublicdata.com» y se había publicado en la red oscura. Cobertura de seguridad de lectura obligada Lo que dicen los expertos en seguridad sobre la violación ¿Por qué los registros de National Public Data son tan valiosos para los ciberdelincuentes? Jon Miller, director ejecutivo y cofundador de la plataforma anti-ransomware Halcyon, dijo que el valor de los registros de Datos Públicos Nacionales desde la perspectiva de un criminal proviene del hecho de que han sido recopilados y organizados. Le dijo a TechRepublic en un correo electrónico: «Si bien la información ya está en gran parte disponible para los atacantes, habrían tenido que hacer un gran esfuerzo y un gran gasto para reunir una recopilación de datos similar, por lo que esencialmente NPD les hizo un favor al hacerlo más fácil». VER: Cómo las organizaciones deben manejar las violaciones de datos Oren Koren, CPO y cofundador de la plataforma de seguridad Veriti, agregó que la información sobre personas fallecidas podría reutilizarse con fines nefastos. Le dijo a TechRepublic en un correo electrónico: «Con este ‘punto de partida’, una persona puede intentar crear certificados de nacimiento, certificados de votación, etc., que serán válidos debido al hecho de que tienen parte de la información que necesitan, siendo la más importante el número de seguro social». ¿Cómo se pueden detener las violaciones de agregadores de datos? Paul Bischoff, defensor de la privacidad del consumidor en la firma de investigación tecnológica Comparitech, dijo a TechRepublic en un correo electrónico: “Las empresas de verificación de antecedentes como National Public Data son esencialmente corredores de datos que recopilan tanta información identificable como sea posible sobre todas las personas que pueden, luego se la venden a quien esté dispuesto a pagar por ella. Recopilan gran parte de los datos sin el conocimiento o el consentimiento de los interesados, la mayoría de los cuales no tienen idea de qué es o hace National Public Data. “Necesitamos regulaciones más estrictas y más transparencia para los corredores de datos que les exijan informar a los interesados ​​cuando su información se agrega a una base de datos, limitar el raspado web y permitir que los interesados ​​vean, modifiquen y eliminen datos. “National Public Data y otros corredores de datos deberían estar obligados a mostrar a los interesados ​​de dónde proviene originalmente su información para que las personas puedan tomar medidas proactivas para proteger su privacidad en la fuente. Además, no hay ninguna razón por la que los datos comprometidos no deban haber sido cifrados”. Miller añadió: “La monetización de nuestra información personal (incluida la información que elegimos exponer públicamente sobre nosotros) está muy por delante de las protecciones legales que rigen quién puede recopilar qué, cómo se puede utilizar y, lo más importante, cuál es su responsabilidad en cuanto a protegerla”. ¿Pueden las empresas y los individuos evitar convertirse en víctimas de una filtración de datos? Chris Deibler, vicepresidente de seguridad del proveedor de soluciones de seguridad DataGrail, dijo que muchos de los principios de higiene cibernética disponibles para empresas e individuos no habrían ayudado mucho en este caso. Le dijo a TechRepublic en un correo electrónico: “Estamos llegando a los límites de lo que los individuos pueden hacer razonablemente para protegerse en este entorno, y las soluciones reales deben llegar a nivel corporativo y regulatorio, incluyendo una normalización de la regulación de la privacidad de los datos a través de un tratado internacional. “El equilibrio de poder en este momento no está a favor del individuo. El RGPD y las diversas regulaciones estatales y nacionales que están entrando en vigor son buenos pasos, pero los modelos de prevención y consecuencias vigentes hoy en día claramente no desincentivan la agregación masiva de datos”.