La compañía cuya violación de datos potencialmente expuso el número de Seguro Social de todos los estadounidenses a ladrones de identidad finalmente reconoció el robo de datos y dijo que los piratas informáticos obtuvieron información aún más sensible de la que se informó anteriormente.
National Public Data, una empresa con sede en Florida que recopila información personal para realizar verificaciones de historial, publicó un aviso de “Incidente de seguridad” en su sitio para informar “posibles filtraciones de ciertos datos en abril de 2024 y el verano de 2024”. La empresa dijo que la violación parecía involucrar a un tercero “que estaba tratando de piratear datos a fines de diciembre de 2023”.
Según una demanda colectiva presentada en el Tribunal de Distrito de Estados Unidos en Fort Lauderdale, Florida, el conjunto de piratas informáticos USDoD afirmó en abril acontecer robado los registros personales de 2.900 millones de personas de National Public Data. En un foro popular entre los piratas informáticos, el conjunto ofreció traicionar los datos, que incluían registros de Estados Unidos, Canadá y el Reino Unido, por 3,5 millones de dólares, dijo un versado en ciberseguridad en una publicación en X.
La semana pasada, un supuesto miembro del Unidad de Defensa de los Estados Unidos, identificado exclusivamente como Felice, dijo al foro de hackers que estaban ofreciendo “la almohadilla de datos completa del NPD”, según una captura de pantalla tomada por BleepingComputer. La información consta de unos 2.700 millones de registros, cada uno de los cuales incluye el nombre completo de una persona, su dirección, plazo de inicio, número de la Seguridad Social y número de teléfono, conexo con nombres alternativos y fechas de inicio, afirmó Felice.
Ninguna de la información fue cifrada.
Descubrir más: Los piratas informáticos podrían acontecer robado los números de la Seguridad Social de todos los estadounidenses. Aquí le mostramos cómo ampararse
Una divulgación de este tipo sería congruo problemática, pero según National Public Data, la filtración incluso incluía direcciones de correo electrónico, un noticia crucial para los ladrones de identidad y los estafadores.
Tener la dirección de correo electrónico de una persona facilita los ataques de phishing, que intentan engañarla para que revele contraseñas de cuentas financieras o descargue malware que puede extraer información personal confidencial de los dispositivos. Adicionalmente, adecuado a que muchas personas usan su dirección de correo electrónico para iniciar sesión en cuentas en estría, podría estar de moda para intentar secuestrar esas cuentas mediante restablecimientos de contraseñas.
No está claro qué es exactamente lo que se ha filtrado en la red oscura a raíz de la filtración. En una muestra muy pequeña de escaneos realizados con Google One, no aparecieron las direcciones de correo electrónico tomadas durante la filtración de datos públicos nacionales. Pero una aparejo gratuita de la empresa de ciberseguridad Pentester descubrió que otros datos personales supuestamente expuestos por la filtración, incluidos números de la Seguridad Social, estaban en la red oscura.
National Public Data indicó en su sitio web que notificará a las personas si se producen “nuevos acontecimientos significativos” que les afecten. “Todavía hemos implementado medidas de seguridad adicionales para evitar que se vuelva a producir una infracción de este tipo y para proteger nuestros sistemas”, indicó.
Anteriormente, en un correo electrónico enviado a personas que habían solicitado información sobre sus cuentas, la empresa dijo que había “purgado toda la almohadilla de datos, en su totalidad, de todas y cada una de las entradas, esencialmente excluyendo a todos”. Como resultado, dijo, ha eliminado cualquier “información personal no pública” sobre las personas, aunque agregó: “Es posible que se nos pida que conservemos ciertos registros para cumplir con las obligaciones legales”.
Descubrir más: Datos de casi todos los clientes de AT&T fueron descargados en una brecha de seguridad
La empresa no respondió a una solicitud de comentarios. Las leyes de California y de prácticamente todos los demás estados exigen que las empresas notifiquen a cualquier persona cuya información personal sensible haya sido robada en una infracción, dijo Timothy Toohey, director de la actos de privacidad y seguridad de datos del mesa de abogados Greenberg Glusker en Los Ángeles.
No hay una plazo frontera específica para la notificación, dijo Toohey, solo la expectativa de que se haga rápidamente. Pero el repercusión de este caso plantea un desafío para National Public Data, dijo, porque tendrá que determinar cuáles de las personas afectadas aún están vivas y dónde viven actualmente, y luego cumplir con los requisitos específicos de ese estado.
“Logísticamente, esto es poco pasmoso”, dijo Toohey.
En este momento, parece que el único aviso proporcionado por National Public Data es la página de su sitio web, que dice: “Le notificamos para que pueda tomar medidas que ayuden a minimizar o eliminar posibles daños. Le recomendamos insistentemente que tome medidas preventivas para ayudar a precaver y detectar cualquier uso indebido de su información”.
Ese tipo de aviso no satisfaría los requisitos de la ley de California, que incluso requiere que la oficina del fiscal común del estado sea informada de cualquier infracción que afecte a más de 500 residentes del estado, dijo Toohey.
Los pasos recomendados por National Public Data incluyen compulsar sus cuentas financieras para detectar actividades no autorizadas y colocar una alerta de fraude gratuita en sus cuentas en las tres principales agencias de crédito, Equifax, Experian y TransUnion. Una vez que haya colocado una alerta de fraude en su cuenta, la compañía aconsejó que solicite un noticia de crédito de balde y luego revíselo para ver si hay cuentas y consultas que no reconozca. “Pueden ser señales de robo de identidad”.
Hasta ahora, la empresa no ha ofrecido servicios gratuitos de monitoreo de crédito para personas cuya información fue robada, a diferencia de otras empresas que han sufrido violaciones masivas de datos. “Normalmente, con una notificación de violación de datos, ofreces poco porque quieres parecer proactivo y estar ayudando a las personas”, dijo Toohey.
“Las empresas lo ven como si hubiera ocurrido poco malo. La empresa, por supuesto, se siente víctima, pero esa no es la impresión que tiene el notorio en común”.
Los expertos en seguridad incluso recomiendan congelar sus archivos de crédito en las tres principales agencias de crédito. Puede hacerlo de forma gratuita y evitará que los delincuentes soliciten préstamos, soliciten tarjetas de crédito y abran cuentas financieras a su nombre. El truco es que deberá recapacitar asentar temporalmente la congelación si está obteniendo o solicitando poco que requiera una demostración de crédito.
Mientras tanto, dicen los expertos en seguridad, asegúrese de que todas sus cuentas en estría utilicen autenticación de dos factores para que sea más difícil secuestrarlas.
Todavía es importante inquirir señales de que un correo electrónico o un mensaje de texto no es legal, dada la proliferación de “estafas de impostores”. Mediante mensajes camuflados para que parezcan una consulta urgente de su parcialidad o proveedor de servicios, estas estafas intentan engañarlo para que revele las claves de su identidad y, potencialmente, sus ahorros. Cualquier solicitud de información personal confidencial es una gran señal de alerta.
Descubrir más: Columna: Por qué las corporaciones en gran medida rentables no gastan lo suficiente para evitar que los piratas informáticos roben su información privada
Aleksandr Valentij, de la empresa de ciberseguridad Surfshark, sugirió comprobar cuidadosamente la dirección de correo electrónico del remitente para ver si no coincide exactamente con el nombre de la estructura a la que supuestamente representa y inquirir errores tipográficos o gramaticales, dos señales reveladoras de una estafa. Y si el mensaje proviene de cualquiera con quien nunca has interactuado ayer, dijo Valentij, evita hacer clic en enlaces, incluido un enlace o mando de “derogar la suscripción”, porque los actores maliciosos los usarán con fines maliciosos.
“Si sospecha que ha recibido un correo electrónico de phishing, no interactúe con él e infórmeselo a su proveedor de correo electrónico”, dijo Valentij. “Si se prostitución de cualquiera que se hace acaecer por una estructura legítima, incluso debe informarlo a esa estructura. Una vez hecho esto, elimine el correo electrónico y esté atento a correos electrónicos similares en el futuro”.
Suscríbete a nuestro boletín Wide Shot para cobrar las últimas informativo, examen y perspectivas del negocio del entretenimiento.
Esta historia apareció originalmente en Los Angeles Times.