Hand sifting through data

米国の個人情報約27億件がハッキング・フォーラムに流出し、氏名、社会保障番号、既知の住所、偽名の可能性などが暴露された。

このデータは、身元調査や犯罪記録の入手、私立探偵のために個人データへのアクセスを収集・販売しているNational Public Data社によるものとされている。

ナショナル・パブリック・データは、米国やその他の国の人々の個人ユーザー・プロファイルを作成するために、公的な情報源からこの情報をスクレイピングしていると考えられている。

4月、USDoDとして知られる脅威行為者は、National Public Dataから盗まれた米国、英国、カナダの人々の個人データを含む29億件のレコードを販売していると主張した。

当時、この脅威者はデータを350万ドルで売ろうとしており、3カ国のすべての人の記録が含まれていると主張していた。

USDoDは、2023年12月にInfraGardのユーザーデータベースを 50,000ドルで売却 しようとした件に関連している既知の脅威行為者です。

当時、National Public Dataに問い合わせたが、電子メールの返信はなかった。

盗まれたデータが無料で流出

それ以来、様々な脅威行為者がデータの部分的なコピーを公開しており、それぞれの流出が異なるレコード数、場合によっては異なるデータを共有している。

8月6日、”Fenice “として知られる脅威行為者は、Breachされたハッキング・フォーラムで、盗まれた国家公共データの最も完全なバージョンを無料で流出させた。

しかしフェニーチェによれば、このデータ流出はUSDoDではなく、「SXUL」という別の脅威行為者によって行われたものだという。

National Public Data data leaked on a hacking forum
ハッキング・フォーラムに流出した国家公共データのデータ
ソースは こちら:

流出したデータは、合計277GBの2つのテキストファイルで構成され、USDoDが当初共有した29億件ではなく、約27億件の平文レコードが含まれている。

このリークに米国内のすべての人のデータが含まれているかどうかは確認できないが、多数の人が、故人を含む自分や家族の合法的な情報が含まれていることを確認している。

各レコードは、氏名住所社会保障番号で構成され、いくつかのレコードには、その人物に関連する他の名前などの追加情報が含まれている。これらのデータはいずれも暗号化されていない。

以前流出したこのデータのサンプルには、電話番号や電子メールアドレスも含まれていたが、今回の27億件の流出には含まれていない。

重要なのは、一人の人間が複数の記録を持つということである。このことはまた、このデータ流出が、データを適切に調査していない多くの記事で誤って報じられているように、30億人に影響を与えなかったことを意味する。

また、自分の社会保障番号が他の知らない人と関連していたという人もいるので、すべての情報が正確というわけではない。

最後に、このデータは古いものである可能性がある。我々が確認した人たちの現住所が含まれていないため、データが古いバックアップから取得された可能性がある。

このデータ流出により、National Public Dataとしてビジネスを行っていると思われるJerico Picturesに対して、人々のデータを適切に保護していないとして複数の集団訴訟が起きている。

米国に住んでいる場合、このデータ流出によって個人情報の一部が流出した可能性が高い。

データには数億件の社会保障番号が含まれているため、不正行為がないか信用情報を監視し、発見された場合は信用情報機関に報告することが推奨される。

さらに、以前に流出したサンプルには電子メールアドレスや電話番号も含まれていたため、フィッシングやSMSメールに騙され、さらに機密情報を提供させられないよう警戒する必要がある。