Kürzlich wurde ein Datenpaket mit 2,7 Milliarden Datensätzen mit persönlichen Informationen über in den USA lebende Personen, einschließlich ihrer Sozialversicherungsnummern, online veröffentlicht. Der Inhalt der Daten wurde mit National Public Data in Verbindung gebracht, einem Unternehmen, das Informationen aus nicht-öffentlichen Quellen extrahiert und für Hintergrundüberprüfungen verkauft. Das Unternehmen hat nun bestätigt, dass es zu einem „Datensicherheitsvorfall“ gekommen ist, bei dem Namen, E-Mail-Adressen, Adressen, Telefonnummern, Sozialversicherungsnummern und Postadressen von Personen gestohlen wurden.
Die Formulierung von National Public Data in ihrem Bericht über den Sicherheitsvorfall ist etwas vage und verwirrend, aber das Unternehmen macht einen Drittanbieter für die Sicherheitsverletzung verantwortlich. Es heißt, dass der böswillige Akteur „Ende Dezember 2023 versuchte, in die Daten einzudringen“, und dass „potenzielle Lecks bestimmter Daten“ im April 2024 und im Sommer 2024 auftraten, was darauf hindeutet, dass der Hacker erfolgreich in das System eingedrungen war. Im April versuchte ein als USDoD bekannter Bedrohungsakteur, 2,9 Milliarden Datensätze von in den USA, Großbritannien und Kanada lebenden Personen für 3,5 Millionen Dollar zu verkaufen. Er behauptete, die Informationen von National Public Data gestohlen zu haben. Seitdem wurden die Daten in mehreren Teilen ins Internet gestellt, wobei der letzte Teil umfangreicher war und mehr sensible Informationen enthielt.
Das Unternehmen erklärte, es habe mit den Strafverfolgungsbehörden zusammengearbeitet, um die möglicherweise betroffenen Datensätze zu überprüfen, und werde versuchen, die Betroffenen zu benachrichtigen, falls es weitere wichtige Entwicklungen gebe, die sie beträfen. Das Unternehmen erklärte auch, dass es die Mitteilung veröffentlicht habe, damit diejenigen, die möglicherweise betroffen sind, Maßnahmen ergreifen können. Das Unternehmen rät den Betroffenen, ihre Finanzkonten auf betrügerische Transaktionen zu überwachen, und fordert sie auf, kostenlose Kreditauskünfte einzuholen und eine Betrugswarnung in ihre Akte einzutragen.
National Public Data sieht sich bereits mit einer geplanten Sammelklage konfrontiert, die Anfang August von einem Kläger eingereicht wurde, der von seinem Dienst zum Schutz vor Identitätsdiebstahl benachrichtigt wurde, dass seine persönlichen Daten im Dark Web veröffentlicht wurden. Das Unternehmen habe es versäumt, „die personenbezogenen Daten, die es im Rahmen seiner üblichen Geschäftspraktiken erhoben und gespeichert hat, angemessen zu sichern und zu schützen“.
