Récemment, un paquet de données contenant 2,7 milliards d'enregistrements d'informations personnelles sur des personnes vivant aux États-Unis, y compris leurs numéros de sécurité sociale, a été publié en ligne. Le contenu des données a été associé à National Public Data, une société qui extrait des informations de sources non publiques et les vend pour des vérifications d'antécédents. L'entreprise a maintenant confirmé qu'un "incident de sécurité des données" s'est produit, au cours duquel les noms, adresses électroniques, adresses, numéros de téléphone, numéros de sécurité sociale et adresses postales de personnes ont été volés.
La formulation utilisée par National Public Data dans son rapport sur l'incident de sécurité est quelque peu vague et confuse, mais l'entreprise tient un fournisseur tiers pour responsable de la violation de sécurité. Il est dit que l'acteur malveillant "a tenté de s'introduire dans les données fin décembre 2023" et que "des fuites potentielles de certaines données" se sont produites en avril 2024 et en été 2024, ce qui indique que le pirate a réussi à s'introduire dans le système. En avril, un acteur de la menace connu sous le nom d'USDoD a tenté de vendre 2,9 milliards d'enregistrements de données de personnes vivant aux États-Unis, au Royaume-Uni et au Canada pour 3,5 millions de dollars. Il prétendait avoir volé les informations à National Public Data. Depuis, les données ont été mises en ligne en plusieurs parties, la dernière étant plus volumineuse et contenant plus d'informations sensibles.
La société a déclaré qu'elle avait collaboré avec les autorités chargées de l'application de la loi pour examiner les ensembles de données susceptibles d'être concernés et qu'elle s'efforcerait d'avertir les personnes concernées en cas de nouveaux développements importants les concernant. L'entreprise a également déclaré qu'elle avait publié l'avis afin que les personnes susceptibles d'être concernées puissent prendre des mesures. La société conseille aux personnes concernées de surveiller leurs comptes financiers afin de détecter toute transaction frauduleuse et les invite à obtenir des informations gratuites sur le crédit et à ajouter une alerte à la fraude dans leur dossier.
National Public Data est déjà confronté à un projet de recours collectif déposé début août par un plaignant qui a été averti par son service de protection contre le vol d'identité que ses données personnelles avaient été publiées sur le Dark Web. L'entreprise n'aurait pas "sécurisé et protégé de manière adéquate les données personnelles qu'elle a collectées et stockées dans le cadre de ses pratiques commerciales habituelles".
