La empresa cuya filtración de datos dejó los números de Seguro Social de todos los estadounidenses expuestos a delincuentes de identidad finalmente reconoció el robo de datos y dijo que los piratas informáticos obtuvieron más información confidencial de la que se informó anteriormente.
National Public Data, una empresa con sede en Florida que recopila información personal para verificaciones de antecedentes, publicó un aviso de “incidente de seguridad” en su sitio informando “posibles fugas de ciertos datos en abril de 2024 y el verano de 2024”. La compañía dijo que la violación parece haber involucrado a un tercero «que intentaba comprometer los datos a fines de diciembre de 2023».
De acuerdo a Demanda colectiva En abril, el grupo de hackers USDoD, que presentó una demanda ante el Tribunal de Distrito de Estados Unidos en Fort Lauderdale, Florida, afirmó que había robado los registros personales de unos 2.900 millones de personas de National Public Data. En un foro popular entre los piratas informáticos, el grupo ofreció vender los datos, que incluían registros de Estados Unidos, Canadá y el Reino Unido, por 100 millones de dólares. 3,5 millones de dólaresUn experto en ciberseguridad dijo en una publicación en X.
La semana pasada, un presunto miembro del Departamento de Defensa de Estados Unidos, identificado únicamente como Phyllis, dijo en un foro de piratería que estaban ofreciendo «Base de datos completa de NPD«Según una captura de pantalla tomada por BleepingComputer. La información consta de aproximadamente 2.700 millones de registros, cada uno de los cuales incluye el nombre completo, la dirección, la fecha de nacimiento, el número de Seguro Social y el número de teléfono de una persona, junto con nombres y fechas de nacimiento alternativos. , afirmó Phyllis.
Ninguna información está cifrada.
Esta divulgación podría ser un problema importante. Pero según datos públicos nacionales, la violación también involucró direcciones de correo electrónico, una pieza clave para los estafadores y ladrones de identidad.
Tener la dirección de correo electrónico de alguien hace que sea más fácil atacarlo para ataques de phishing, que intentan engañar a las personas para que revelen contraseñas de cuentas financieras o descarguen malware que puede extraer información personal confidencial de los dispositivos. Además, dado que muchas personas utilizan su dirección de correo electrónico para iniciar sesión en cuentas en línea, se puede utilizar para intentar secuestrar esas cuentas mediante el restablecimiento de contraseña.
Aún no está claro qué truco se filtró en la web oscura. En una muestra muy pequeña de encuestas que utilizaron Google One, las direcciones de correo electrónico tomadas durante la violación de datos públicos nacionales no aparecieron. pero herramienta gratuita La empresa de ciberseguridad Pentester descubrió que otros datos personales supuestamente comprometidos, incluidos los números de Seguro Social, estaban ubicados en la web oscura.
La Autoridad Nacional de Datos Públicos dijo en su sitio web que notificará a las personas si hay “otros acontecimientos importantes” que se apliquen a ellos. «También hemos implementado medidas de seguridad adicionales en un esfuerzo por evitar que se repita una infracción de este tipo y proteger nuestros sistemas», añadió.
Anteriormente, en un correo electrónico enviado por la empresa a las personas que buscaban información sobre sus cuentas, la empresa dijo que había «purgado toda la base de datos, en su conjunto, de cualquier entrada, lo que básicamente significa que nadie está comprometido». Como resultado, dijo que eliminó cualquier “información personal no pública” sobre las personas, aunque agregó: “Es posible que debamos conservar ciertos registros para cumplir con obligaciones legales”.
La empresa no respondió a una solicitud de comentarios. Leyes en California Estados Unidos y todos los demás países exigen que las empresas notifiquen a cualquier individuo cuya información personal sensible se haya obtenido mediante una violación, dijo Timothy Toohey, jefe de privacidad y seguridad de datos del bufete de abogados Greenberg Glusker en Los Ángeles.
Tuohy dijo que no hay una fecha límite establecida para la notificación, sólo la expectativa de que se hará con rapidez. Pero el alcance de esta cuestión plantea un desafío para los datos públicos nacionales, porque habría que determinar qué personas afectadas siguen vivas y dónde viven actualmente, para luego cumplir con los requisitos específicos en ese estado.
«Desde el punto de vista logístico, es algo alucinante», dijo Toohey.
En este punto, parece que el único aviso proporcionado por National Public Data es la página de su sitio web, que dice: «Le estamos notificando para que pueda tomar medidas que ayuden a reducir o eliminar daños potenciales. Le recomendamos encarecidamente que tomar medidas preventivas para ayudar a prevenir y detectar cualquier uso indebido de su información.
Ese tipo de notificación no cumpliría con los requisitos de la ley de California, que también exige que cualquier infracción que afecte a más de 500 residentes del estado se informe a la oficina del fiscal general del estado, dijo Toohey.
Los pasos recomendados por las declaraciones públicas nacionales incluyen verificar sus cuentas financieras en busca de actividad no autorizada y colocar una alerta de fraude gratuita en sus cuentas con las tres principales agencias de crédito. Equifax, experiano y TransUniónLa compañía aconseja que una vez que se coloque una alerta de fraude en su cuenta, solicite un informe de crédito gratuito y luego verifique si hay cuentas y consultas que no reconoce. «Estos pueden ser signos de robo de identidad».
Hasta ahora, la empresa no ha ofrecido servicios gratuitos de seguimiento crediticio a personas cuya información fue robada, a diferencia de otras empresas que han sufrido violaciones masivas de datos. «Normalmente, con una notificación de violación de datos, usted proporciona algo porque quiere parecer proactivo y ayudar a las personas», dijo Toohey.
«La opinión de las empresas es que algo malo ha sucedido. Por supuesto, la empresa se siente víctima, pero esa no es la impresión entre el público en general».
Los expertos en seguridad también recomiendan congelar sus archivos crediticios en las tres principales agencias de crédito. Puede hacer esto de forma gratuita y evitará que los delincuentes soliciten préstamos, registren tarjetas de crédito y abran cuentas financieras a su nombre. El problema aquí es que deberá recordar levantar temporalmente la congelación si está obteniendo o solicitando algo que requiere una verificación de crédito.
Mientras tanto, dicen los expertos en seguridad, asegúrese de que todas sus cuentas en línea utilicen autenticación de dos factores para que sean más difíciles de piratear.
También es importante buscar señales de que un correo electrónico o un mensaje de texto no es legítimo, ya que las «estafas de suplantación de identidad» son comunes. Utilizando mensajes disfrazados de una consulta urgente de su banco o proveedor de servicios, estas estafas intentan engañarlo para que entregue sus claves de identidad y tal vez sus ahorros. Cualquier solicitud de información personal confidencial es una gran señal de alerta.
Alexander Valenti, de la firma de ciberseguridad Surfshark, sugirió revisar cuidadosamente la dirección de correo electrónico del remitente para ver si no coincide exactamente con el nombre de la organización que dice representar, y buscar errores tipográficos o gramaticales, dos señales claras de una estafa. Y si el mensaje es de alguien con quien nunca has interactuado antes, dijo Valenti, evita hacer clic en enlaces, incluido un enlace o botón de «cancelar suscripción», porque los malos actores los usarán con fines maliciosos.
«Si sospecha que ha recibido un correo electrónico fraudulento, no interactúe con él e infórmelo a su proveedor de servicios de correo electrónico», dijo Valenti. «Si la persona se hace pasar por una organización legítima, también debe informarlo a esa organización. Una vez que lo haga, elimine el correo electrónico y esté atento a correos electrónicos similares en el futuro».
«Pionero del café. Fanático de las redes sociales. Entusiasta de la televisión. Emprendedor amigable. Empollón zombi aficionado».