François Isabel

Ni dieu, ni maître, nirvana

  • Cyberattaque : les données de millions d’Américains dévoilées
    https://www.economiematin.fr/cyberattaque-fuite-donnees-usa

    Le 14 août 2024, une base de données contenant 2,7 milliards de documents sensibles a été découverte sur un forum de cybercriminels. Cette cyberattaque concerne des informations cruciales, telles que les numéros de sécurité sociale, les noms, adresses et pseudonymes possibles de pratiquement chaque citoyen américain, ainsi que de nombreux autres résidents du Canada et du Royaume-Uni. Selon les sources, ces données proviennent de la National Public Data, un courtier spécialisé qui collecte des informations à partir de sources non publiques pour les revendre à des entreprises privées et des détectives.

    Il a été établi que cette fuite provient d’une cyberattaque contre la National Public Data, entreprise qui gère une immense quantité de données personnelles. En effet, cette société, très sollicitée par les entreprises de crédit et les détectives privés, est assise sur une mine d’informations concernant les citoyens américains. L’attaque, survenue fin décembre 2023, a permis aux pirates d’exfiltrer des données, qui ont été mises en vente sur le forum Breached, souvent qualifié d’Amazon des cybercriminels. Cyberattaque : les données de millions d’Américains dévoilées.

    Conséquences économiques et sécuritaires

    Les répercussions de cette cyberattaque sont colossales. En plus de mettre en danger les citoyens, les données volées ouvrent la voie à de potentielles fraudes à grande échelle, notamment l’usurpation d’identité, les prêts frauduleux, ou encore des attaques de phishing sophistiquées. La National Public Data a déclaré avoir prévenu la Federal Trade Commission (FTC), et travaille en collaboration avec les forces de l’ordre pour examiner les dossiers potentiellement affectés. Par ailleurs, la firme a mis en place des mesures de sécurité supplémentaires pour prévenir de futures violations.

    Cette brèche intervient quelques semaines après une autre attaque majeure contre l’opérateur AT&T, qui a abouti au vol des données de dix millions de clients. Les États-Unis, selon une étude de Surfshark, sont en tête des pays les plus touchés par les fuites de données, avec plus de 3 000 compromissions de comptes enregistrées toutes les minutes dans le monde. Cette multiplication des incidents soulève des inquiétudes quant à la capacité des institutions à protéger efficacement les données sensibles des citoyens.

    • only 134 millions

      nombreux détails, dont des informations quantifiées dans cette analyse
      où, l’on parle bien de billions of individuals (doublons plus que probables !, billions of records serait certainement plus précis ;-) dont les données ont été scrapées à partir de différentes sources non publiques pour aboutir au fichier cible du piratage
      ce qui montre l’ampleur de cette activité de collecte et le niveau de risque auquel elle expose chacun

      National Public Data Breach : Only 134 Million Unique Emails Leaked and Company Acknowledges Incident
      https://www.techrepublic.com/article/social-security-numbers-leak

      In August, 2.7 billion records from National Public Data, including Social Security numbers, were leaked on a dark web forum.

      In August, a hacker dumped 2.7 billion data records, including Social Security numbers, on a dark web forum, in one of the biggest breaches in history. National Public Data, the owner of the data, has now acknowledged the incident, blaming a “third-party bad actor” that hacked the company in December 2023.

      The background-checking service acknowledged the breach in a statement posted on Aug. 12. It explained how it has applied “additional security measures” to protect itself against future incidents; however, it recommends that those affected “take preventative measures” rather than offering any remediation.

      Troy Hunt, security expert and creator of the Have I Been Pwned breach checking service, investigated the leaked dataset and found it only contained 134 million unique email addresses as well as 70 million rows from a database of U.S. criminal records. The email addresses were not associated with the SSNs.
      [...]
      Not all 2.7 billion leaked records are accurate or unique, but some of them are
      As individuals will each have multiple records associated with them, one for each of their previous home addresses, the breach does not expose information about 2.7 billion different people. Furthermore, according to BleepingComputer, some impacted individuals have confirmed that the SSN associated with their info in the data dump is not correct.

      BleepingComputer also found that some of the records do not contain the associated individual’s current address, suggesting that at least a portion of the information is out of date. However, others have confirmed that the data contained their and their family members’ legitimate information, including those who are deceased.

      The class action complaint added that National Public Data scrapes the personally identifying information of billions of individuals from non-public sources to create their profiles. This means that those impacted may not have knowingly provided their data. Those living in the U.S. are particularly likely to be impacted by this breach in some way.