El servicio de verificación de antecedentes National Public Data de Estados Unidos confirma que los hackers violaron sus sistemas después de que actores maliciosos filtraran una base de datos robada con millones de números de Seguro Social y otra información personal sensible.
La empresa estatal afirma que los datos comprometidos pueden incluir nombres, direcciones de correo electrónico, números de teléfono, números de Seguro Social (SSN) y direcciones postales.
Violación vinculada a un intento de hackeo a finales de 2023
En el comunicado que revela el incidente de seguridad, National Public Data dice que "la información que se sospechaba que había sido comprometida contenía nombre, dirección de correo electrónico, número de teléfono, número de Seguro Social y dirección(es) de envío".
La empresa reconoce las "filtraciones de ciertos datos en abril de 2024 y en el verano de 2024" y cree que la violación está asociada con un actor malicioso "que intentaba hackear datos a finales de diciembre de 2023".
NPD dice que investigaron el incidente, cooperaron con las fuerzas del orden y revisaron los registros potencialmente afectados. Si ocurren desarrollos significativos, la empresa "intentará notificar" a las personas afectadas.
Cabe destacar que las pruebas de BleepingComputer revelaron que el acceso a la declaración de NPD sobre el incidente de seguridad ha sido bloqueado para direcciones IP en numerosas ubicaciones de EE. UU. así como en regiones fuera del país. Sin embargo, existen más de una docena de capturas de la página en Internet Archive.
Aunque una gran parte de la base de datos robada de National Public Data (NPD) se filtró hace 10 días, copias parciales ya habían sido compartidas previamente por varios actores maliciosos.
Las filtraciones comenzaron después de que un actor malicioso en abril, utilizando el alias USDoD, ofreciera vender por 3.5 millones de dólares 2.9 mil millones de registros supuestamente robados de NPD.
A principios de este mes, otro actor malicioso conocido como Fenice compartió de forma gratuita la variante más completa de la base de datos con 2.7 mil millones de registros, con múltiples registros refiriéndose a una sola persona.
 |
| National Public Data data leaked on a hacking forum (Source: BleepingComputer) |
No está claro cuántas personas están afectadas, pero varias personas confirmaron a BleepingComputer que los registros incluían detalles sobre ellos y sus familiares, incluidos los fallecidos.
Según Troy Hunt, el creador y mantenedor del servicio de búsqueda Have I Been Pwned (HIBP) para datos personales comprometidos, había 134 millones de direcciones de correo electrónico únicas en una versión de la base de datos filtrada de NPD que analizó.
Sin embargo, no toda la información puede ser precisa. Las pruebas de BleepingComputer mostraron que algunas personas estaban asociadas con el nombre de otra persona.
El análisis de Hunt sobre el conjunto de datos que recibió parece confirmar esto, ya que encontró una de sus direcciones de correo electrónico asociada con dos fechas de nacimiento únicas, ninguna de las cuales era la suya.
Además, BleepingComputer descubrió que algunos de los detalles en la base de datos también pueden estar desactualizados, ya que no incluyen la dirección actual de ninguna de las personas que revisamos.
A pesar de las inexactitudes, el incidente de NPD ha dado lugar a al menos una demanda colectiva contra Jerico Pictures, la entidad que opera el servicio de National Public Data.
Se cree que NPD obtiene sus detalles de archivos públicos como registros gubernamentales (federales, estatales y locales), que incluyen todos los documentos legales relacionados con un individuo.
Las personas afectadas por la violación de NPD deben monitorear sus cuentas financieras en busca de signos de actividad potencialmente fraudulenta y reportarlo a las agencias de crédito.
Debido a que la información de contacto está presente en la filtración, también existe la posibilidad de intentos de phishing para engañarte y que proporciones más detalles sensibles que podrían ser utilizados para actividades fraudulentas.
Fuente: Bleeping Computer