瞞不住了：美國公民身份信息證實被泄露，涉及約 27 億條數(shù)據(jù)

IT之家 8 月 17 日消息，美國國家公共數(shù)據(jù)（National Public Data，NPD）遭到攻擊，導(dǎo)致 29 億條個人隱私數(shù)據(jù)泄露，這也是僅次于 2013 年雅虎事件（影響 30 億）的數(shù)據(jù)泄露事件（注：NPD 是 Jerico Pictures 旗下的犯罪記錄和背景調(diào)查服務(wù)，數(shù)據(jù)來源于聯(lián)邦、州和地方政府等公共文件，主要是用于背調(diào)等方面的用途）。

今年 4 月，黑客集團 USDoD 最初試圖以 350 萬美元（IT之家備注：當(dāng)前約 2508.9 萬元人民幣）的價格掛牌兜售這些寶貴的數(shù)據(jù)（含美國、英國、加拿大多方文件），NPD 當(dāng)時并未發(fā)表回應(yīng)。

十天前，一位自稱“Fenice”的黑客由于某種原因直接在 BreachForums 上免費放出了大部分?jǐn)?shù)據(jù)（約 27 億條），其中包括 2.27 億個（美國現(xiàn)人口約 3.36 億）社會安全號碼（可以理解為美國人的身份證）。

實測發(fā)現(xiàn)，這部分?jǐn)?shù)據(jù)有部分是真的，也有部分是假的（或者說是過時的）。其中，“Have I Been Pwned”（HIBP）開發(fā)者兼維護者特洛伊?亨特（Troy Hunt）證實他被泄露的數(shù)據(jù)是真的，而且他分析的一個 NPD 泄露數(shù)據(jù)庫版本中包含了 1.34 億個不重復(fù)的電子郵件地址，表明至少有上億人受影響。

8 月 14 日，National Public Data 發(fā)布聲明，證實該公司發(fā)生了“數(shù)據(jù)安全事件”，包括姓名、電子郵件地址、電話號碼、社會安全號碼和快遞收貨地址均已被泄露。

NPD 表示正與執(zhí)法部門和政府調(diào)查人員合作審查可能受影響的數(shù)據(jù)，如果有進一步的重大進展將嘗試通知當(dāng)事人。此外，該公司已經(jīng)實施額外的安全保護措施以避免此類事件再次發(fā)生。

不過，NPD 報告中的措辭十分含糊。該公司表示，有壞人“試圖在 2023 年 12 月底入侵?jǐn)?shù)據(jù)”，并且“某些數(shù)據(jù)的潛在泄露”發(fā)生在 2024 年 4 月和 2024 年夏季，這表明黑客已成功滲透其系統(tǒng)。

NPD 還表示，發(fā)布這一通知是為了讓那些可能受到影響的人盡快采取行動，并建議用戶盡快檢查其銀行賬戶是否存在欺詐交易，并鼓勵他們設(shè)置欺詐警報。

目前，已經(jīng)有大量網(wǎng)友在社交平臺上曬出了自己“中槍”的悲慘遭遇，例如下面這兩位。

與此同時，大量相關(guān)安全公司也已經(jīng)開始行動起來，例如邁克菲（McAfee）。

值得一提的是，NPD 已經(jīng)在面臨一項擬議的集體訴訟，原告克里斯托弗?霍夫曼（Christopher Hofmann）指控 National Public Data 違反信托責(zé)任和第三方受益人合同、疏忽和不當(dāng)?shù)美⒁蠼?jīng)濟賠償在內(nèi)的一系列要求。他還要求該公司掃描數(shù)據(jù)庫，引進安全威脅管理系統(tǒng)，分割數(shù)據(jù)，并聘請第三方機構(gòu)在未來 10 年內(nèi)每年對公司的網(wǎng)絡(luò)安全框架進行一次評估。

相關(guān)閱讀：

• 《全球第 2 大數(shù)據(jù)泄露事件，背調(diào)公司 NPD 遭攻擊：影響 29 億人、277.1GB 數(shù)據(jù)》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。