Várias ações judiciais coletivas estão planejadas contra uma empresa sediada na Flórida após uma violação massiva de dados que vazou quase três bilhões de arquivos contendo informações pessoais, incluindo nomes, de pessoas no Canadá, nos EUA e no Reino Unido, de acordo com uma ação judicial e endereços privados.
Uma das primeiras ações judiciais a ser relatada foi uma ação coletiva movida pelo residente da Califórnia, Christopher Hofmann, em 1º de agosto, no Tribunal Distrital dos EUA para o Distrito Sul da Flórida. Alega que em 8 de abril, um grupo de hackers chamado USDoD publicou um banco de dados chamado “National Public Data” em um fórum da dark web, alegando ter informações pessoais de 2,9 bilhões de pessoas, e tentou usá-lo para vender por US$ 3,5 milhões.
O site técnico Bleeping Computer informou que um hacker postou uma versão dos dados roubados gratuitamente em um fórum de hackers em 6 de agosto.
Pelo menos seis reclamações foram apresentadas contra a empresa, National Public Data, este mês.
Os dados vêm de uma empresa que realiza verificações de antecedentes
Os dados foram supostamente roubados da Jerico Pictures Inc., que faz negócios como National Public Data e é uma empresa de verificação de antecedentes com sede na Flórida.
Hofmann alega na ação que a empresa recebeu e armazenou seus dados sem o seu consentimento. Como as pessoas não partilham conscientemente os seus dados com a empresa, é difícil para os indivíduos saberem se são afetados pelo roubo de dados.
O processo afirma que a empresa “ainda não forneceu notificação ou aviso” a Hofmann ou outras pessoas afetadas pela violação.
“Na verdade, tanto quanto é do meu conhecimento e convicção, a grande maioria dos participantes do curso não sabia que os seus sentimentos sensíveis [personal information] foram comprometidos e que estiveram e continuam a estar em risco significativo de roubo de identidade e várias outras formas de danos pessoais, sociais e financeiros”, afirmou.
Richard Rogerson, fundador da empresa de segurança cibernética Packetlabs, diz que a suposta escala da violação é “bastante assustadora” e tornará muito mais fácil para os fraudadores realizarem golpes usando identidades roubadas.
“Nunca vi uma violação desta magnitude”, disse Rogerson. “Este é basicamente um território novo.”
A National Public Data confirmou a violação na terça-feira em um comunicado em seu site, que aparentemente estava inacessível na sexta-feira.
O comunicado afirma que o incidente “presumivelmente envolveu um terceiro mal-intencionado” tentando invadir dados no final de dezembro de 2023, “com possíveis violações de dados ocorrendo em abril de 2024 e no verão de 2024”. As informações que a empresa suspeita terem sido roubadas incluem nomes, endereços de e-mail, números de telefone, números de previdência social e endereços para correspondência.
O site da National Public Data afirma que seus serviços são “atualmente usados por investigadores particulares, sites públicos de dados de consumidores, departamentos de recursos humanos, agências de recrutamento e muito mais”. A empresa não respondeu a um pedido de comentário.
Não está claro como exatamente a violação ocorreu
Alguns estados exigem que as empresas relatem violações de dados aos procuradores-gerais estaduais. No entanto, a empresa de segurança McAfee disse que não encontrou tais relatórios aos procuradores-gerais do estado.
O gabinete do procurador-geral da Flórida não foi informado da violação, disse à CBC por e-mail.
A ação afirma que não está claro exatamente quando e como ocorreu a violação.
“Esses dados vão nos acompanhar por um tempo porque muitos deles são muito estáticos e não mudarão com o tempo”, disse Rogerson.
“Se você pensar nos pontos de controle de segurança como uma cerca, a cerca é reduzida de uma cerca de 3 metros para uma cerca de 60 centímetros. Você pode passar por cima desta cerca. Isso torna muito mais fácil [fraud] ataques.”
Hofmann afirma no processo que seu serviço de proteção contra roubo de identidade o alertou em julho de que suas informações pessoais haviam sido comprometidas e encontradas na dark web como resultado direto da violação de dados públicos nacionais.
O escritório de advocacia Schubert Jonckheer & Kolbe, que disse na segunda-feira estar investigando o roubo de dados, escreveu em um blog em seu site que os dados remontam a pelo menos três décadas.
Cliff Steinhauer, diretor de segurança da informação e engajamento da National Cybersecurity Alliance, uma organização sem fins lucrativos que defende a segurança online, diz que embora esse tipo de dados já tenha vazado antes, a diferença é que agora está tudo em um só lugar.
“Acho que surpreende muita gente que essas empresas existam e tenham permissão para coletar e armazenar esses dados – e pior, não precisam atender a nenhum critério de segurança específico para fazê-lo”, disse ele.
De acordo com Steinhauer, os quase três bilhões de arquivos no despejo de 277 gigabytes parecem conter registros incompletos, duplicatas e registros de pessoas que já morreram. Isto explica por que o número é significativamente maior do que a população do Canadá, dos EUA e da Grã-Bretanha juntas.
Ainda não se sabe se e até que ponto a empresa foi negligente na proteção de seus dados, mas Steinhauer questiona por que armazenou tantas informações pessoais por tanto tempo.
“Quero dizer, eles realmente precisam manter todos esses dados sobre pessoas que morreram há tanto tempo?”
Segundo Steinhauer, as pessoas podem se cansar de ler sobre a violação de seus dados e se sentirem impotentes nessas situações. No entanto, é importante saber que existem coisas que você pode fazer para se proteger.
Ele diz que todos deveriam presumir que suas informações pessoais foram comprometidas e tem várias sugestões para proteger seu dinheiro e suas informações pessoais.
- Mantenha o software de segurança dos seus dispositivos atualizado.
- Torne suas senhas complexas e com pelo menos 16 caracteres.
- Use um gerenciador de senhas para armazenar essas senhas e gerar novas.
- Use um serviço de monitoramento que irá alertá-lo se suas informações pessoais forem encontradas na dark web.
- Habilite a autenticação multifator para adicionar uma camada adicional de proteção contra fraudadores.
- Use um serviço para configurar o monitoramento de seus relatórios de crédito e “certifique-se de que não haja contas em seu relatório de crédito que você não reconheça”.
- Tenha cuidado com phishing e outros golpes que costumam surgir quando surgem notícias de grandes violações de dados.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25406818/STK051_TIKTOK_CVirginia_C.jpg?w=120&resize=120,86&ssl=1)
