8 апреля хак-группа USDoD заявила, что украла личные данные 2,9 млрд человек из базы National Public Data (NPD) — компании, которая собирает ПДн и продаёт доступ к ним работодателям, кадровым агентствам, частным детективам и другим лицам, проводящим проверку биографий (в том числе на наличие фактов судимости). Информацию о гражданах из США, Канады и Великобритании, оценили в 3,5 млн долларов.
За прошедшее с апреля время различные злоумышленники опубликовали частичные копии базы данных NPD, причём каждая утечка содержала разное количество записей, а в некоторых случаях и разные данные, пишет BleepingComputer.
6 августа некто Fenice на хак-форуме Breached выложил в открытый доступ самую полную версию БД NPD. Он утверждает, что взлом был осуществлён хакером по имени SXUL, а не членами группировки USDoD. Дамп состоит из двух текстовых файлов общим объёмом 277 Гб, содержащих около 2,7 млрд записей (а не 2,9 млрд, как утверждалось ранее).
Каждая запись включает имя человека, почтовый адрес и номер социального страхования. Некоторые записи — дополнительную информацию и побочно связанные с человеком имена. Ранее просочившиеся образцы также включали номера телефонов и адреса электронной почты, но они не вошли в новую утечку из 2,7 млрд записей.
Как пишут американские СМИ, National Public Data не отвечает на запросы о комментариях, и официально не уведомила граждан о предполагаемом нарушении. В ответ на запросы по электронной почте организация сообщает, что знает о некоторых заявлениях третьих лиц и расследует эти проблемы. Компания также заявляет, что «очистила всю базу данных в целом от любых записей, по сути, исключив всех», а также удалила всю «непубличную личную информацию» о людях, сохранив определённые записи для соблюдения юридических обязательств.
Изучившие данные из утечки Fenice ИБ-эксперты заключили, что они, по-видимому, являются сведениями о реальных людях. Предполагается, что в полном объёме утечка содержит большую часть информации, которую банки, страховые компании и поставщики услуг используют при создании учётных записей, включая адреса электронной почты, копии водительских прав или паспортов, в свою очередь используемых госучреждениями для проверки личности. Все эти сведения злоумышленники могут применить для кражи личности, доступа к финансам или создания поддельных счетов.
Инцидент привёл к многочисленным коллективным искам против компании Jerico Pictures (которая, вероятно, ведёт деятельность под вывеской National Public Data) за ненадлежащую защиту ПДн граждан.
Эксперты по безопасности призывают граждан, чьи ПДн могли попасть в утечку, заблокировать возможность получения кредитов в трёх основных кредитных бюро (Experian, Equifax и TransUnion), не поддаваться на возможные схемы социальной инженерии, которые могут использовать мошенники, в том числе внимательно относится к письмам якобы от National Public Data, в которых предлагается помощь в борьбе с утечкой. Фишинговые послания, содержащие вредоносное ПО, отправляют хакеры с целью обогащения, и цена одного клика может стоить жертве до 10 тыс. долларов.
В декабре 2023 года USDoD связывали с попыткой продажи БД пользователей InfraGard за 50 тыс. долларов.