La maxi fuga di dati proviene da National Public Data (NPD), una società specializzata nella raccolta di informazioni personali da fonti pubbliche. Ogni record comprende nome, indirizzo postale e numero di previdenza sociale della persona.
Un rilevante data breach ha colpito gli Stati Uniti, ponendo in pericolo la privacy di milioni di cittadini. Un collettivo di cybercriminali è riuscito a esfiltrare un data base contenente quasi 2,7 miliardi di record con nomi, numeri di previdenza sociale, indirizzi fisici e possibili alias. Per poi comunicare l’accaduto (e, soprattutto, mettere a disposizione il materiale) su un forum di hacking, come spiega Bleeping Computer.
La fuga di dati proviene da National Public Data, una società specializzata nella raccolta di informazioni personali da fonti pubbliche (Malwarebytes sottolinea che NPD una società che offre servizi a pagamento per il controllo dei precedenti penali. Compiendo un’interrogazione circostanziata, gli utenti del servizio sono in grado di svolgere ricerche ottenere risposte immediate attingendo al contenuto di un database che accoglie miliardi di record).
Nel caso specifico, i file trapelati constano di due documenti di testo, per un totale di 277 gigabyte contenenti circa 2,7 miliardi di record in chiaro (dunque, non crittografati). Alcune fonti coinvolte hanno rivelato alla stampa americana che i loro numeri di previdenza sociale erano associati a persone sconosciute; ciò significa che non tutte le informazioni sono accurate. E ancora, taluni dati potrebbero essere obsoleti, e anche questo rappresenterebbe una “magra” consolazione.
Il precedente a opera del collettivo USDoD
Il set di informazioni sarebbe stato acquisito dai criminal hacker nell’aprile di quest’anno. È bene rammentare che a inizio giugno, come racconta The Register, il collettivo di criminali informatici conosciuto come USDoD aveva dichiarato di aver sottratto le informazioni dalla medesima organizzazione, mettendole in vendita per 3,5 miliardi di dollari. In quel caso, il database custodiva un monte maggiore di dati (circa 2,9 miliardi) comprese le specifiche di residenti negli Stati Uniti, in Canada e nel Regno Unito. Ad ogni modo, gli esperti ritengono che i criminal hacker abbiano sottratto un archivio obsoleto del National Public Data, non protetto perché considerato, appunto, “vecchio”.
L’azione criminale in ogni caso non va sottovalutata considerato che per Bleeping Computer “se fosse corretto solo il 10% dei dati, sarebbero a rischio 270 milioni di persone. Un problema rilevante”. Restando negli Usa, va annotato il data breach alla National Security Agency (NSA), avvenuto lo scorso luglio Come illustra il team di ricerca di Cyber Press, l’utente “Gostingr” ha reso noto, all’interno di un forum underground, la violazione di 1,4 gigabyte di dati sensibili. Violazione avvenuta seguito di un’intrusione nei sistemi della società di consulenza tecnologica Acuity Inc.
Il più grande furto di dati di sempre
Allo stato attuale, il più ampio data breach di sempre concerne il miliardo di contenuti – nomi, indirizzi, luoghi di nascita, numeri di cellulare e precedenti penali delle persone – rubati alla Banca dati della polizia nazionale di Shanghai nel 2022,. La notizia era stata riportata da Asiamarkets e poi da tutte le principali testate internazionali.
Ad ogni modo, l’agenzia di stampa Reuters aveva scritto di non essere riuscita a confermare in modo indipendente l’autenticità dei dati messi in vendita da ChinaDan, l’utente che su Breach Forums aveva pubblicato un post in cui scriveva di essere in possesso di 23 terabyte di dati. Per attestare l’autenticità dei dati, lo stesso utente ne aveva messi a disposizione una parte (750mila), una pratica non di rado utilizzata in casi simili.