Ciberdelito, gestión del fraude y ciberdelito, respuesta a incidentes y violaciones 1,3 millones de personas reciben una notificación de que sus números de seguridad social fueron robadosMathew J. Schwartz (euroinfosec) • 19 de agosto de 2024 La empresa de verificación de antecedentes National Public Data está notificando a 1,3 millones de personas que los piratas informáticos robaron sus datos. (Imagen: Shutterstock) La empresa de verificación de antecedentes National Public Data está notificando a 1,3 millones de personas que su información personal fue robada en una violación de sus sistemas en diciembre de 2023. Ver también: Cloud NGFW: la mejor seguridad de su clase y una simplicidad incomparable en AWS La información robada parece incluir el nombre de una persona, la dirección de correo electrónico, el número de teléfono, el número de la seguridad social y la dirección o direcciones postales. National Public Data, con sede en Florida (su nombre oficial es Jericho Pictures), es un agregador de datos que vende verificaciones de antecedentes y antecedentes penales, así como servicios de búsqueda y verificación de personas, a los que los clientes pueden acceder a través de una API. “Actualmente, nuestros servicios son utilizados por investigadores, sitios web de verificación de antecedentes, revendedores de datos, aplicaciones móviles, aplicaciones y más”, dice su sitio web. La compañía comenzó a enviar notificaciones de violación de datos a las personas afectadas el 10 de agosto, diciendo que la violación se remonta a una violación del 30 de diciembre que detectó el mismo día. National Public Data recomienda a las personas cuyos datos personales recopiló y luego perdió que “vigilen de cerca sus cuentas financieras y si ven alguna actividad no autorizada, deben comunicarse de inmediato con su institución financiera”, así como revisar regularmente sus informes de crédito y “colocar una alerta de fraude gratuita en su archivo de crédito”, que puede renovarse anualmente. Datos violados enumerados en abril La notificación de violación de la compañía sigue por cuatro meses las copias de los datos robados que se ofrecen a la venta. En abril, los investigadores detrás de la cuenta vx-underground en la plataforma social X estuvieron entre los primeros en comenzar a informar sobre los datos robados. Dijeron que fue robado por un actor de amenazas que usa el nombre de usuario «SXUL» y listado por un actor de amenazas con el nombre de usuario «USDoD» en el mercado de delitos cibernéticos BreachForums el 8 de abril. El conjunto de datos, con un precio de $ 3,5 millones, contenía 2.9 mil millones de filas de datos sobre estadounidenses, afirmó USDoD. Con base en su revisión, vx-underground dijo que el archivo de 277,1 gigabytes listado para la venta contenía al menos algunos «datos reales y precisos», según varias personas que dieron permiso al grupo para verificar sus datos personales. Los investigadores dijeron que el conjunto de datos incluía los historiales de direcciones de un individuo por hasta tres décadas o más, y les permitió discernir relaciones familiares, incluidos los padres y hermanos cercanos de las personas, así como tíos, tías y primos y parientes fallecidos. El conjunto de datos no parecía contener ninguna información sobre las personas que usaron el servicio de exclusión voluntaria de National Public Data. Algunos medios de comunicación informaron que el conjunto de datos incluía información sobre 2.9 mil millones de estadounidenses. Varios expertos en seguridad dijeron que esta caracterización era errónea en varios frentes, incluso porque la población actual de los EE. UU. cuenta con solo unos 333 millones de personas. Además, varias filas en el conjunto de datos podrían hacer referencia al mismo individuo. Vx-underground dijo que el conjunto de datos «está estructurado de manera extraña, por lo que da la ilusión de miles de millones de registros, pero no del todo» y dijo que el conjunto de datos también incluye «muchas personas muertas», incluidas algunas que han fallecido hace hasta dos décadas. El 6 de agosto, el usuario de BreachForums «Fenrich» filtró al menos parte de la información que primero se ofreció a la venta por el usuario USDoD. El experto australiano en violaciones de datos Troy Hunt informó haber recibido una copia de al menos algunos de los datos filtrados a principios de este mes y dijo que contenía 134 millones de direcciones de correo electrónico únicas y se resolvió en 2.7 mil millones de filas de datos. Al intentar revisar la autenticidad de los datos, dijo en una publicación de blog, descubrió que 28 de las filas incluyen su dirección de correo electrónico, pero junto a nombres, direcciones y fechas de nacimiento incorrectos. Dijo que no está claro de dónde se originó la información, incluidos los datos erróneos. Hunt administra el servicio gratuito de notificación de violaciones Have I Been Pwned, que permite a las personas ver si su dirección de correo electrónico ha aparecido en una violación de datos. Ha cargado las 134 millones de direcciones de correo electrónico en HIBP, pero marcó esto como una violación «no verificada» ya que «claramente hay algún grado de datos no válidos aquí». Si bien el conjunto de datos que revisó incluía archivos que contenían números de Seguro Social, dijo que esos archivos específicos no contenían direcciones de correo electrónico. «Si se encuentra en esta violación de datos a través de HIBP, no hay evidencia de que se haya filtrado su SSN, y si está en el mismo barco que yo, los datos junto a su registro pueden incluso no ser correctos», dijo. Demanda reclama enriquecimiento injusto National Public Data ya enfrenta al menos una demanda colectiva por la violación, presentada antes de que la compañía confirmara que era la fuente de la información robada. El 1 de agosto, el residente de California Christopher Hofmann presentó una denuncia contra National Public Data en el Tribunal de Distrito de los EE. UU. para el Distrito Sur de Florida. Hofmann dijo que el 24 de julio un proveedor de servicios de monitoreo de robo de identidad le notificó que su información personal había sido encontrada en un sitio web oscuro y que había sido comprometida desde nationalpublicdata.com. Su demanda acusa a National Public Data de negligencia, enriquecimiento injusto y otras violaciones legales, incluyendo no notificar a las víctimas en el momento en que presentó su queja. Hofmann busca una compensación monetaria y exige que la compañía purgue todos los datos afectados, encripte las futuras recopilaciones e implemente estrictas medidas de ciberseguridad, incluyendo evaluaciones anuales de terceros. URL original de la publicación: https://www.databreachtoday.com/background-check-firm-national-public-data-confirms-breach-a-26061