2,9 мільярда записів розкрито в результаті витоку даних National Public Data

Один із найбільших витоків даних в історії щойно став надбанням громадськості, і є значна ймовірність того, що ваша особиста інформація є його частиною. Внаслідок витоку даних National Public Data, який стався приблизно 8 квітня 2024 року, приватні записи приблизно 2,9 мільярда громадян США були скомпрометовані. Серед викрадених даних — повні імена, номери соціального страхування та домашні адреси, які згодом опублікувала у даркнеті кіберзлочинна група, відома як USDoD. Відтоді проти National Public Data — флоридської компанії з перевірки анкетних даних, яка опинилася в центрі цього інциденту, — подано колективний позов.

Якщо ви ніколи раніше не чули про National Public Data, ви не одинокі. Саме це робить цей витік особливо тривожним.

Хто таке National Public Data і чому вони мали вашу інформацію?

National Public Data — це компанія з перевірки анкетних даних, тобто такий вид бізнесу, який агрегує загальнодоступні та приватно отримані записи для створення детальних профілів фізичних осіб. Такі компанії здебільшого працюють поза увагою громадськості, збираючи дані з судових записів, історій адрес, відомостей про працевлаштування та інших джерел.

Ви ніколи не реєструвалися в National Public Data. Ви ніколи не погоджувалися з їхніми умовами надання послуг. Проте, найімовірніше, вони зберігали досьє на вас, яке містило деякі з ваших найбільш конфіденційних особистих даних. Саме так працює індустрія брокерів даних, і витік у National Public Data є яскравим нагадуванням про те, наскільки великій загрозі ви піддаєтеся через компанії, з якими ніколи безпосередньо не взаємодіяли.

За наявними даними, викрадені дані спочатку були виставлені на продаж на форумах даркнету, а згодом їх відкрито опублікував USDoD. Щойно дані стають вільно доступними в даркнеті, вони стають досяжними для широкого кола зловмисників — від викрадачів особистих даних до шахраїв, які проводять цілеспрямовані фішингові атаки.

Яка інформація була розкрита і в чому полягає ризик?

Поєднання даних, розкритих у цьому витоку, є особливо небезпечним. Номери соціального страхування в парі з повним ім'ям і адресою дають злочинцям майже все необхідне для вчинення шахрайства з особистими даними. Це включає:

  • Відкриття шахрайських кредитних рахунків на ваше ім'я
  • Подання фіктивних податкових декларацій для отримання відшкодування
  • Оформлення позик, за якими врешті-решт відповідатимете ви
  • Видавання себе за вас у спілкуванні з державними органами

На відміну від скомпрометованого пароля, який можна змінити за лічені хвилини, номер соціального страхування є фактично постійним. Його не можна скинути так само, як облікові дані для входу. Саме це робить наслідки витоків, що включають номери соціального страхування, особливо довготривалими.

Ситуацію ускладнює те, що National Public Data не повідомила постраждалих осіб у проактивному порядку. Багато людей досі абсолютно не знають, що їхня інформація нині поширюється в даркнеті.

Що це означає для вас

Навіть якщо ви дотримуєтеся належної цифрової гігієни, використовуєте надійні паролі та обережно переглядаєте веб-сторінки, цей витік, найімовірніше, стосується вас не з вашої вини. У цьому і полягає головний урок: захист персональних даних — це не лише про те, що ви робите в інтернеті. Це також про те, що треті сторони роблять із зібраними про вас даними.

Ось конкретні кроки, які варто зробити прямо зараз:

  1. Заморозьте кредит у всіх трьох основних бюро (Equifax, Experian та TransUnion). Заморожування кредиту є безкоштовним і запобігає відкриттю нових рахунків на ваше ім'я без вашої безпосередньої участі.
  2. Регулярно перевіряйте свої кредитні звіти. У США ви маєте право на безкоштовні щотижневі звіти на сайті AnnualCreditReport.com.
  3. Будьте пильні щодо спроб фішингу. Якщо ваше ім'я та адреса потенційно опинилися в руках злочинців, цілеспрямовані шахрайські електронні листи та дзвінки стають більш переконливими. Скептично ставтеся до будь-яких небажаних контактів із проханням підтвердити особисті дані.
  4. Розгляньте можливість використання сервісу моніторингу особистих даних, який сповіщатиме вас, коли ваша інформація з'явиться в нових витоках даних або підозрілих контекстах.
  5. Перевірте свій обліковий запис у Адміністрації соціального забезпечення на сайті ssa.gov на наявність незнайомої активності.

Ці кроки спрямовані на усунення конкретних наслідків розкриття статичних даних, таких як номери соціального страхування та адреси. Однак захист вашої поточної цифрової активності є окремим і не менш важливим рівнем захисту. Шифрування інтернет-з'єднання за допомогою VPN на кшталт hide.me гарантує, що ваші звички перегляду веб-сторінок, дані про місцезнаходження та онлайн-комунікації не поповнять масив інформації, яку брокери даних і зловмисники можуть збирати надалі. Це не скасує того, що розкрила National Public Data, але обмежує кількість нових даних, які ви розкриваєте щодня.

Широке застереження щодо конфіденційності даних

Витік даних National Public Data — не поодинокий інцидент. Це найбільший і найбільш помітний приклад системної проблеми: компанії збирають величезні обсяги конфіденційних персональних даних, зберігають їх ненадійно та не повідомляють постраждалих осіб, коли щось іде не так. Колективний позов може зрештою призвести до притягнення до відповідальності, але судові провадження розвиваються повільно, а ваша інформація вже є у відкритому доступі.

Захист конфіденційності має працювати на кількох рівнях. Заморожування кредиту усуває ризик шахрайства з особистими даними. Пильність щодо фішингу зменшує ризик соціальної інженерії. А використання інструментів, які мінімізують ваш поточний цифровий слід, знижує ризик майбутнього розкриття даних. Жодного з цих кроків окремо недостатньо, але разом вони формують надійний захист.

Якщо ви прагнете взяти під контроль свою онлайн-конфіденційність, дізнайтеся більше про те, як працює VPN-шифрування та як перевірити, чи з'явилися ваші дані у відомих витоках. VPN hide.me є одним із компонентів комплексної стратегії захисту конфіденційності, яка зберігає ваше з'єднання приватним і не дає вашій активності потрапити до рук брокерів даних, які вже довели свою нездатність захищати її.