National Public Data, Amerikalıların sosyal güvenlik numaralarını ifşa eden ihlali doğruladı. Şirketten çalınan milyarlarca kayıt çevrimiçi olarak sızdırılmıştı.
National Public Data güvenlik açıklaması yaptı
ABD’de yaşayan kişilerin Sosyal Güvenlik Numaraları da dahil olmak üzere 2.7 milyar kişisel bilgi kaydı içeren bir veri dökümü yakın zamanda çevrimiçi olarak sızdırıldı. Veri dökümünün içeriği, kamuya açık olmayan kaynaklardan bilgi toplayan ve bunları geçmiş kontrolleri için satan bir şirket olan National Public Data ile ilişkilendirildi. Şimdi şirket, insanların adlarının, e-postalarının, adreslerinin, telefon numaralarının, sosyal güvenlik numaralarının ve posta adreslerinin çalındığı bir “veri güvenliği olayı” yaşadığını doğruladı.
National Public Data’nın Güvenlik Olayı raporundaki ifadeleri biraz belirsiz ve dolambaçlı, ancak güvenlik ihlalini üçüncü taraf bir kötü aktöre yükledi. Kötü aktörün “Aralık 2023 sonlarında verilere girmeye çalıştığını” ve “belirli verilerin olası sızıntılarının” Nisan 2024 ve 2024 yazında gerçekleştiğini, bunun da bilgisayar korsanının sistemine başarıyla sızdığını gösterdiğini söyledi. Nisan ayında, USDoD olarak bilinen bir tehdit aktörü, ABD, İngiltere ve Kanada’da yaşayan kişilerin 2,9 milyar kaydını 3,5 milyon dolara satmaya çalıştı. Bilgileri National Public Data’dan çaldığını iddia etti. O zamandan beri kayıtlar parçalar halinde çevrimiçi olarak sızdırıldı ve daha yeni olanı daha kapsamlıydı ve daha hassas bilgiler içeriyordu.
Şirket, potansiyel olarak etkilenen kayıtları incelemek için kolluk kuvvetleriyle birlikte çalıştığını ve “onlar için geçerli başka önemli gelişmeler varsa” bireyleri “bildirmeye” çalışacağını söyledi. Ayrıca, potansiyel olarak etkilenenlerin harekete geçebilmesi için bildirimi yayınladığını söyledi. Şirket, insanlara hileli işlemler için finansal hesaplarını izlemelerini tavsiye ediyor ve ayrıca onları ücretsiz kredi raporları almaya ve dosyalarına bir hile uyarısı koymaya teşvik ediyor.
National Public Data, Ağustos ayının başlarında kimlik hırsızlığı koruma hizmetlerinden kişisel bilgilerinin karanlık web’de yayınlandığı bildirimini alan bir davacı tarafından açılan önerilen bir toplu dava davasıyla karşı karşıya. Şirketin “düzenli iş uygulamalarının bir parçası olarak topladığı ve sakladığı kişisel olarak tanımlanabilir bilgileri uygun şekilde güvence altına alma ve korumada başarısız olduğunu” savundular.
