2,9 miliarda rekordów ujawnionych w wyniku naruszenia danych National Public Data

Opublikowane dziś informacje opisują pozew zbiorowy złożony w następstwie masowego naruszenia danych przez National Public Data – firmę zajmującą się weryfikacją przeszłości, z siedzibą na Florydzie. W wyniku naruszenia, do którego doszło około 8 kwietnia 2024 roku, ujawniono prywatne dane szacowanej liczby 2,9 miliarda obywateli USA, w tym pełne imiona i nazwiska, numery ubezpieczenia społecznego oraz adresy. Dane te zostały następnie opublikowane w dark webie przez grupę cyberprzestępczą o nazwie USDoD. Wielu poszkodowanych nadal nie jest świadomych ujawnienia swoich danych z powodu braku powiadomień.

2,9 miliarda rekordów ujawnionych w wyniku naruszenia danych National Public Data

Jedno z największych naruszeń danych w historii właśnie stało się powszechnie znane, a istnieje duże prawdopodobieństwo, że Twoje dane osobowe są jego częścią. W wyniku naruszenia danych National Public Data, do którego doszło około 8 kwietnia 2024 roku, ujawniono prywatne dane szacowanej liczby 2,9 miliarda obywateli USA. Wśród skradzionych informacji znalazły się pełne imiona i nazwiska, numery ubezpieczenia społecznego oraz adresy domowe. Dane te zostały później opublikowane w dark webie przez grupę cyberprzestępczą znana jako USDoD. Przeciwko National Public Data – firmie zajmującej się weryfikacją przeszłości z siedzibą na Florydzie, będącej w centrum zdarzenia – złożono od tego czasu pozew zbiorowy.

Jeśli nigdy wcześniej nie słyszałeś o National Public Data, nie jesteś wyjątkiem. To właśnie część tego, co sprawia, że to naruszenie jest tak niepokojące.

Kim jest National Public Data i dlaczego posiadali Twoje dane?

National Public Data to firma zajmująca się weryfikacją przeszłości – rodzaj przedsiębiorstwa, które agreguje publicznie dostępne oraz pozyskiwane z prywatnych źródeł dane w celu tworzenia szczegółowych profili osób fizycznych. Firmy tego typu działają w dużej mierze poza zasięgiem publicznej uwagi, gromadząc informacje z rejestrów sądowych, historii adresów zamieszkania, akt zatrudnienia i innych źródeł.

Nigdy nie zakładałeś konta w National Public Data. Nigdy nie zaakceptowałeś ich regulaminu. A mimo to firma ta prawdopodobnie posiadała plik na Twój temat, zawierający niektóre z Twoich najbardziej wrażliwych danych osobowych. Na tym właśnie polega działanie branży brokerów danych, a naruszenie w National Public Data jest wyraźnym przypomnieniem, jak duże zagrożenie wiąże się z firmami, z którymi nigdy bezpośrednio nie miałeś do czynienia.

Skradzione dane były podobno oferowane na sprzedaż na forach dark webu, zanim zostały publicznie ujawnione przez USDoD. Kiedy dane stają się swobodnie dostępne w dark webie, uzyskuje do nich dostęp szeroki krąg złośliwych podmiotów – od złodziei tożsamości po oszustów przeprowadzających ukierunkowane ataki phishingowe.

Jakie informacje zostały ujawnione i jakie jest ryzyko?

Kombinacja danych ujawnionych w tym naruszeniu jest szczególnie niebezpieczna. Numery ubezpieczenia społecznego, zestawione z pełnym imieniem i nazwiskiem oraz adresem, dają przestępcom niemal wszystko, czego potrzebują do popełnienia oszustwa tożsamościowego. Obejmuje to:

Otwieranie fałszywych kont kredytowych na Twoje nazwisko - Składanie fałszywych zeznań podatkowych w celu wyłudzenia zwrotu podatku - Zaciąganie pożyczek, za które ostatecznie zostaniesz pociągnięty do odpowiedzialności - Podszywanie się pod Ciebie w kontaktach z organami rządowymi

W odróżnieniu od skompromitowanego hasła, które można zmienić w ciągu kilku minut, numer ubezpieczenia społecznego jest w zasadzie trwały. Nie można go zresetować tak jak danych logowania. To sprawia, że naruszenia dotyczące numerów SSN mają szczególnie długotrwałe konsekwencje.

Sytuację dodatkowo pogarsza fakt, że National Public Data nie powiadomiło proaktywnie poszkodowanych osób. Wiele osób nadal nie ma pojęcia, że ich dane krążą teraz w dark webie.

Co to oznacza dla Ciebie?

Nawet jeśli stosujesz dobre praktyki w zakresie bezpieczeństwa cyfrowego, używasz silnych haseł i ostrożnie przeglądasz internet, to naruszenie prawdopodobnie dotyczy Cię bez żadnej Twojej winy. To jest właśnie kluczowa lekcja: ochrona danych osobowych to nie tylko kwestia tego, co robisz w sieci. Chodzi również o to, co strony trzecie robią z danymi, które na Twój temat gromadzą.

Oto konkretne kroki, które warto podjąć już teraz:

Zastrzeż raport kredytowy we wszystkich trzech głównych biurach (Equifax, Experian i TransUnion). Zastrzeżenie raportu kredytowego jest bezpłatne i uniemożliwia otwieranie nowych kont na Twoje nazwisko bez Twojego bezpośredniego udziału.
Regularnie monitoruj swoje raporty kredytowe. W USA masz prawo do bezpłatnych tygodniowych raportów na stronie AnnualCreditReport.com.
Bądź czujny na próby phishingu. Skoro Twoje imię i nazwisko oraz adres mogą być w rękach przestępców, ukierunkowane wiadomości e-mail i połączenia telefoniczne od oszustów stają się bardziej przekonujące. Podchodź sceptycznie do wszelkich niechcianych kontaktów, w których prosi się Cię o potwierdzenie danych osobowych.
Rozważ skorzystanie z usługi monitorowania tożsamości, która powiadomi Cię, gdy Twoje dane pojawią się w nowych naruszeniach lub podejrzanych kontekstach.
Sprawdź swoje konto w Social Security Administration na stronie ssa.gov pod kątem nieznanych Ci aktywności.

Te kroki odpowiadają na konkretne skutki ujawnienia danych statycznych, takich jak numery SSN i adresy. Jednak ochrona bieżącej aktywności w sieci to osobna, równie ważna warstwa obrony. Szyfrowanie połączenia internetowego za pomocą VPN, takiego jak hide.me, zapewnia, że Twoje nawyki przeglądania, dane o lokalizacji i komunikacja online nie zasilają puli informacji, które brokerzy danych i cyberprzestępcy mogą gromadzić w przyszłości. Nie cofnie tego, co ujawniło National Public Data, ale ogranicza ilość nowych danych, które każdego dnia pozostawiasz w sieci.

Szersze ostrzeżenie dotyczące prywatności danych

Naruszenie danych National Public Data nie jest incydentem odosobnionym. To największy i najbardziej widoczny przykład systemowego problemu: firmy gromadzą ogromne ilości wrażliwych danych osobowych, przechowują je w sposób niewystarczająco bezpieczny i nie informują poszkodowanych osób, gdy coś pójdzie nie tak. Pozew zbiorowy może ostatecznie doprowadzić do pociągnięcia winnych do odpowiedzialności, ale postępowania prawne toczą się powoli, a Twoje dane są już dostępne publicznie.

Ochrona prywatności musi działać na wielu poziomach jednocześnie. Zastrzeżenie raportu kredytowego ogranicza ryzyko oszustwa tożsamościowego. Czujność wobec phishingu zmniejsza ryzyko związane z inżynierią społeczną. A korzystanie z narzędzi minimalizujących bieżący ślad danych ogranicza ryzyko przyszłego ujawnienia. Żaden z tych kroków samodzielnie nie jest wystarczający, ale razem tworzą solidną linię obrony.

Jeśli chcesz przejąć kontrolę nad swoją prywatnością w sieci, [dowiedz się więcej o tym, jak działa szyfrowanie VPN](internal-link) i [jak sprawdzić, czy Twoje dane pojawiły się w znanych naruszeniach](internal-link). VPN hide.me to jeden z elementów szerszej strategii ochrony prywatności, który chroni Twoje połączenie i uniemożliwia brokerom danych – którzy już udowodnili, że nie można im ufać w kwestii ochrony Twoich informacji – dostęp do Twojej aktywności online.