Casi 3,000 millones de registros no cifrados que contienen datos personales de personas que viven en los EEUU, Canadá y el Reino Unido pueden haberse filtrado, según una demanda colectiva presentada en Florida.
La denuncia afirma que National Public Data, una empresa de corretaje de datos con sede en Florida propiedad de Jerico Pictures, Inc. que realiza verificaciones de antecedentes, fue filtrada en abril, revelando los nombres completos de las personas, las direcciones actuales y pasadas y los números de Seguro Social, así como datos vinculados a familiares vivos y fallecidos.
NPD obtiene sus datos raspando la información de identificación personal de miles de millones de personas de fuentes no públicas. Esto significa que los afectados pueden no haber proporcionado conscientemente sus datos a la empresa, según la demanda.
Es poco probable que la filtración haya afectado a 3,000 millones de personas, ya que cada dirección en la que haya vivido una persona generará un registro independiente.
Los datos aparecieron por primera vez el 8 de abril, cuando el grupo de piratas informáticos USDoD, publicó una base de datos en “Breached”, un foro de la web oscura, y afirmó tener 2,900 millones de filas de registros sin cifrar. La pusieron a la venta por 3,5 millones de dólares.
“Revisamos el archivo masivo (277,1 GB sin comprimir) y podemos confirmar que los datos presentes en él son reales y precisos”, publicó en X el recopilador de código fuente de malware @vx-underground.
Manténte al tanto de las noticias locales y del estado del tiempo. Suscríbete a nuestros newsletters gratuitos aquí.
La "base de datos NPD completa" se hizo pública el 6 de agosto, cuando un usuario llamado "Fenice", filtró unos 2.700 millones de registros en el mismo foro, según el sitio web de noticias sobre ciberseguridad BleepingComputer.
EEUU
"Fenice" atribuyó el ataque a un individuo que opera bajo el nombre de "SXUL", lo que también fue confirmado por @vx-underground en X.
BleepingComputer dijo que si bien no puede verificar si la filtración contiene datos de todas las personas en los EEUU, "numerosas personas han confirmado… que incluía información legítima de ellos y de sus familiares, incluidos los fallecidos".
BleepingComputer también informó que no toda la información en la base de datos es precisa, y que algunos números de Seguro Social están emparejados con datos personales incorrectos.
Christopher Hofmann, una persona mencionada en la demanda colectiva, recibió una notificación el 24 de julio de su proveedor de servicios de protección contra el robo de identidad, de que su información se había filtrado a la red oscura como "resultado directo de la violación de 'nationalpublicdata.com'".
En la demanda, el residente de California acusó a NPD de negligencia, incumplimiento del contrato de beneficiario de terceros, enriquecimiento injusto e incumplimiento del deber fiduciario. Pidió al tribunal que exija a NPD que proporcione una compensación monetaria, elimine la información personal de todas las personas afectadas e implemente medidas para reducir las amenazas a la ciberseguridad.
National Public Data no ha hecho ningún aviso público sobre la posible filtración. Si se confirma la violación, las personas afectadas deben permanecer alertas y tomar medidas para proteger su información personal.