O roubo de dados é um flagelo aparentemente interminável e sem solução fácil. Mas os roubos de dados do serviço nacional de verificação de antecedentes de dados públicos nos últimos meses mostram o quão perigosos e persistentes se tornaram. E depois de quatro meses de ambiguidade, a situação só agora começa a ficar mais clara, quando a National Public Data finalmente admitiu o roubo de dados na segunda-feira, no momento em que uma grande quantidade de dados roubados foi divulgada publicamente na Internet.
Em abril, um hacker conhecido como USDoD, conhecido por vender informações roubadas, começou a vender uma coleção de dados em fóruns cibercriminosos por US$ 3,5 milhões, compreendendo 2,9 bilhões de registros e “toda a população dos EUA, Califórnia e Grã-Bretanha”. Com o passar das semanas, surgiram cada vez mais exemplos destes dados, à medida que outros intervenientes e investigadores de renome tentavam descobrir a fonte e validar a informação. No início de junho, ficou claro que pelo menos alguns dos dados eram legítimos, contendo informações como nomes, e-mails e endereços em diversas combinações.
Os dados nem sempre são precisos, mas parece que existem duas fontes de informação. Um contém mais de 100 milhões de endereços de e-mail legítimos e outras informações, o outro contém números de Seguro Social, mas nenhum endereço de e-mail.
“Parece ter ocorrido um incidente de segurança de dados que pode ter afetado algumas de suas informações pessoais”, escreveu o National Public Data na segunda-feira. “Diz-se que o incidente envolveu um terceiro mal-intencionado tentando invadir dados no final de dezembro de 2023, com possíveis violações de dados ocorrendo em abril de 2024 e no verão de 2024… As informações suspeitas de roubo de dados incluíam nome, endereço de e-mail, número de telefone , número de segurança social e endereço(s) para correspondência.”
A empresa afirma que está cooperando com “investigadores da lei e do governo”. O NPD está enfrentando ações judiciais coletivas por roubo de dados.
“Ficámos insensíveis às fugas intermináveis de dados pessoais, mas eu diria que existe um risco sério”, disse o investigador de segurança Jeremiah Fowler, que tem acompanhado a situação no National Public Data. “Isso pode não acontecer imediatamente e pode levar anos para que qualquer um dos muitos atores criminosos descubra como usar essas informações, mas o resultado final é que uma tempestade está se aproximando.”
Quando as informações são roubadas de uma única fonte, como dados do cliente Target, é relativamente fácil determinar a fonte. Porém, se as informações forem roubadas por um corretor de dados e a empresa não divulgar o incidente, será muito mais complicado determinar se as informações são reais e de onde vieram. Normalmente, as pessoas cujos dados foram comprometidos numa violação de dados – as verdadeiras vítimas – nem sequer sabem que a National Public Data armazenou as suas informações.
Em uma postagem de blog na quarta-feira sobre o conteúdo e a origem dos Dados Públicos Nacionais, o pesquisador de segurança Troy Hunt escreveu: “As únicas pessoas que sabem a verdade são os atores anônimos da ameaça que compartilham os dados e o agregador de dados… Nós temos isso em 134 milhões de endereços de e-mail de domínio público em circulação cuja origem ou responsabilidade não é clara.”
