Un nouveau procès affirme que des pirates informatiques ont eu accès aux informations personnelles de « milliards d’individus », y compris leurs numéros de sécurité sociale, leurs adresses actuelles et passées et les noms de leurs frères et sœurs et de leurs parents – des données personnelles qui pourraient permettre aux fraudeurs d’infiltrer des comptes financiers ou de contracter des prêts en leur nom.
Cette allégation est née d’un procès intenté plus tôt ce mois-ci par Christopher Hofmann, un résident de Californie qui affirme que son service de protection contre le vol d’identité l’a alerté que ses informations personnelles avaient été divulguées sur le dark web par la violation de « nationalpublicdata.com ». Le procès avait été intenté plus tôt ce mois-ci signalé par Bloomberg Law.
La violation aurait eu lieu vers avril 2024, lorsqu’un groupe de pirates informatiques appelé USDoD a exfiltré les informations personnelles non cryptées de milliards d’individus d’une société appelée National Public Data (NPD), une société de vérification des antécédents, selon la plainte. Plus tôt ce mois-ci, un pirate informatique a divulgué gratuitement une version des données volées de NPD sur un forum de piratage informatique, le site technologique Bleeping Computer signalé.
Selon Bleeping Computer, le pirate informatique a affirmé que les fichiers volés comprenaient 2,7 milliards d’enregistrements, chacun indiquant le nom complet d’une personne, son adresse, sa date de naissance, son numéro de sécurité sociale et son numéro de téléphone. Bien que l’on ne sache pas exactement combien de personnes cela inclut, il est probable que « toutes les personnes possédant un numéro de sécurité sociale ont été touchées », a déclaré Cliff Steinhauer, directeur de la sécurité des informations et de l’engagement à la National Cybersecurity Alliance, une organisation à but non lucratif qui promeut la sécurité en ligne.
« Cela nous rappelle l’importance de se protéger, car il est clair que les entreprises et le gouvernement ne le font pas pour nous », a déclaré Steinhauer à CBS MoneyWatch.
Le NPD n’a pas répondu à une demande de commentaire.
Voici ce qu’il faut savoir sur le piratage présumé.
Qu’est-ce que les données publiques nationales ?
National Public Data est une société de données basée à Coral Springs, en Floride, qui propose des vérifications d’antécédents aux employeurs, aux enquêteurs et aux autres entreprises qui souhaitent vérifier les antécédents des personnes. Ses recherches comprennent les casiers judiciaires, les registres d’état civil, les traces de SSN et d’autres informations, indique son site Web.
Il existe de nombreuses entreprises similaires qui récupèrent des données publiques pour créer des fichiers sur les consommateurs, qu’elles vendent ensuite à d’autres entreprises, a déclaré Steinhauer.
« Ce sont des courtiers en données qui collectent et vendent des données sur les gens, parfois à des fins de vérification des antécédents », a-t-il expliqué. « C’est parce qu’il n’existe pas de loi nationale sur la protection de la vie privée aux États-Unis. Il n’existe aucune loi interdisant la collecte de ces données contre notre consentement. »
Que s’est-il passé avec le piratage de l’USDoD ?
Selon la nouvelle plainte, le ministère de la Défense américain a publié le 8 avril sur le dark web une base de données appelée « National Public Data », affirmant détenir les dossiers d’environ 2,9 milliards d’individus. Le prix d’achat demandé était de 3,5 millions de dollars, selon la plainte.
Cependant, Bleeping Computer a rapporté que le fichier a ensuite été divulgué gratuitement sur un forum de hackers, comme indiqué ci-dessus.
Combien de personnes ont été touchées ?
Le nombre de personnes touchées par cette violation n’est pas connu. Bien que la plainte affirme que des « milliards d’individus » ont vu leurs données volées, la population totale des États-Unis s’élève à environ 330 millions. La plainte allègue également que les données comprennent des informations personnelles de personnes décédées.
Selon Bleeping Computer, les données piratées concernent 2,7 milliards d’enregistrements, les individus ayant plusieurs enregistrements dans la base de données. En d’autres termes, un individu pourrait avoir des enregistrements distincts pour chaque adresse où il a vécu, ce qui signifie que le nombre de personnes concernées pourrait être bien inférieur à ce que prétend le procès, a noté le site.
Les données peuvent remonter à au moins trois décennies, selon au cabinet d’avocats Schubert Jonckheer & Kolbe, qui a déclaré lundi qu’il enquêtait sur cette violation.
Le NPD a-t-il alerté les individus du piratage ?
Ce n’est pas clair, bien que la poursuite affirme que NPD « n’a toujours pas fourni d’avis ou d’avertissement » à Hoffman ou à d’autres personnes affectées par la violation.
« En fait, sur la base des informations et des croyances, la grande majorité des membres du groupe n’étaient pas conscients que leurs données sensibles [personal information] « Ils avaient été compromis et qu’ils étaient, et continuent d’être, exposés à un risque important de vol d’identité et à diverses autres formes de préjudice personnel, social et financier », affirme la poursuite.
Entreprise de sécurité informatique McAfee signalé qu’il n’a trouvé aucun dossier auprès des procureurs généraux des États. Certains États exigent que les entreprises qui ont subi des violations de données déposent des rapports auprès de leurs bureaux de procureurs généraux.
Pouvez-vous savoir si vos données ont fait partie du piratage ?
Il existe des outils permettant de surveiller les informations vous concernant disponibles sur le dark web, a indiqué Michael Blair, directeur général de la société de cybersécurité NukuDo. Les données les plus fréquemment piratées sont notamment vos adresses personnelles, vos mots de passe et votre courrier électronique, a-t-il ajouté.
L’un de ces services est celui par lequel Hofmann, qui a déposé plainte, a découvert que ses informations avaient été divulguées dans le cadre d’une violation du NPD.
« Assurez-vous d’utiliser des entreprises réputées pour rechercher cela », a déclaré Blair.
Que dois-je faire pour protéger mes informations ?
Les experts en sécurité recommandent aux consommateurs de geler leurs dossiers de crédit auprès des trois plus grandes agences d’évaluation du crédit, Experian, Equifax et TransUnion. Le gel de votre crédit est gratuit et empêchera les personnes malintentionnées de contracter des prêts ou d’ouvrir des cartes de crédit à votre nom.
« La chose la plus importante à faire est de geler votre rapport de crédit, afin qu’il ne puisse pas être utilisé pour ouvrir de nouveaux comptes à votre nom et commettre d’autres fraudes en votre nom », a déclaré Steinhauer.
Steinhauer recommande aux consommateurs de prendre plusieurs mesures supplémentaires pour protéger leurs données et leurs finances :
- Assurez-vous que vos mots de passe comportent au moins 16 caractères et sont complexes.
- Utilisez un gestionnaire de mots de passe pour enregistrer ces mots de passe longs et complexes.
- Activez l’authentification multifacteur, que Steinhauer qualifie de « critique », car la simple utilisation d’un seul mot de passe pour accéder à vos comptes ne constitue pas une protection suffisante contre les pirates informatiques.
- Soyez vigilant face aux tentatives d’hameçonnage et autres escroqueries. Un signal d’alarme est que les escrocs essaieront de créer un sentiment d’urgence pour manipuler leurs victimes.
- Maintenez à jour votre logiciel de sécurité sur votre ordinateur et vos autres appareils. Par exemple, assurez-vous de télécharger les dernières mises à jour de sécurité de Microsoft ou d’Apple sur vos applications et vos appareils.
Vous pouvez également bénéficier d’un service de suivi qui vous alertera si vos données apparaissent sur le dark web.
« Vous devez supposer que vous avez été compromis et agir en conséquence », a déclaré Steinhauer.