Un pirate informatique publie 2,7 milliards de données provenant de données publiques nationales
Que vient-il de se passer ? Une violation de données colossale a été découverte, révélant près de 2,7 milliards de dossiers d’informations personnelles concernant tous les individus au Canada, au Royaume-Uni et aux États-Unis. Cette violation se distingue par la grande quantité de données exposées, ce qui en fait potentiellement l’une des plus importantes de l’histoire.
Nous sommes peut-être confrontés à l’un des plus grands incidents de fuite de données de l’histoire, mais nous ignorons encore beaucoup de choses, notamment le nombre exact de personnes touchées. Alors que nous sommes aux prises avec les conséquences de cette situation, cette situation est le moment idéal pour examiner de près les pratiques de collecte de données, en particulier le grattage non autorisé d’informations provenant de sources non publiques. En fin de compte, cet événement souligne à quel point il peut être difficile pour les gens de protéger leurs informations personnelles dans un monde de plus en plus numérique.
Les données compromises comprennent des informations sensibles telles que des noms, des adresses et des numéros de sécurité sociale, qui proviendraient d'une entreprise qui collecte et vend des données à des fins légitimes.
Les données auraient été volées à National Public Data (NPD), une société de vérification des antécédents opérant sous l'égide de Jerico Pictures Inc. NPD recueille des informations à partir de registres publics pour les vendre à des fins de vérification des antécédents et de services connexes. Cependant, une action en justice a été intentée, alléguant que NPD a également récupéré des données de sources non publiques sans obtenir le consentement des personnes concernées.
La plainte allègue également que NPD a violé ses responsabilités fiduciaires et obtenu des avantages injustes, entre autres infractions. Jusqu'à présent, NPD n'a pas officiellement confirmé la violation ni détaillé comment elle s'est produite.
Initialement, un pirate informatique connu sous le nom de USDoD a revendiqué la responsabilité du vol de données, tentant de vendre les informations pour 3,5 millions de dollars. L'USDoD a déjà été lié à d'autres violations, notamment une tentative de vente de la base de données des utilisateurs d'InfraGard pour 50 000 dollars en décembre 2023.
La situation a pris une nouvelle tournure le 6 août, lorsqu'un utilisateur nommé Fenice a publié gratuitement sur un forum de piratage ce qu'il croit être la version la plus complète des données volées, attribuant la violation à un autre pirate, SXUL.
En réponse à cette violation, une action collective a été intentée en Floride contre NPD. Elle fait référence à VX-Underground, un site Web éducatif sur la cybersécurité, qui a signalé que l'USDoD avait mis la base de données en vente, affirmant qu'elle contenait 2,9 milliards d'enregistrements. VX-Underground a vérifié que les données étaient réelles et exactes après avoir reçu une copie avancée de la base de données – un fichier massif de 277,1 Go.
Malgré ces affirmations de vérification, la faille concerne une base de données qui contiendrait des informations sur plus de 2,9 milliards de personnes, ce qui soulève des questions en raison des divergences dans les données démographiques. La population américaine est bien inférieure à 1 milliard d'habitants et la population mondiale est d'environ 8,07 milliards, ce qui entraîne une incertitude quant au nombre réel d'individus touchés par la faille.
Les efforts de vérification ont également rencontré des difficultés. On ne sait donc pas encore si la fuite contient des données sur tous les citoyens américains. Bien que certaines personnes aient confirmé que leurs coordonnées étaient incluses, des problèmes tels que des numéros de sécurité sociale incorrects et des données d'adresse obsolètes suggèrent que les informations pourraient provenir d'une ancienne sauvegarde.
De plus, de nombreuses personnes possèdent plusieurs enregistrements, un pour chaque adresse à laquelle elles ont vécu, ce qui complique l’évaluation de l’impact réel de la violation.
À la lumière de cette fuite, il est conseillé aux particuliers de surveiller leurs rapports de crédit pour détecter toute activité frauduleuse et de rester vigilants face aux tentatives de phishing par courrier électronique et SMS. La fuite comprend des adresses électroniques et des numéros de téléphone, ce qui augmente le risque d'attaques ciblées.
