井底圈小蛙
关注科技圈

史上最大数据泄露事件之一,数十亿用户信息遭泄露

一项针对背景调查公司National Public Data(NPD,也称为Jerico Pictures)提起的集体诉讼称,近30亿人的个人信息通过数据泄露进入暗网。

National Public Data使用一种称为“爬取”的方式来收集和存储来自非公共来源的个人身份数据,以对全球数十亿人进行背景调查。Jerico Pictures运营着“国家公共数据”(National Public Data,NPD),这是一项背景调查服务,可从非公开来源抓取个人身份信息(PII)。

数据落入网络犯罪分子手中

原告克里斯托弗·霍夫曼(Christopher Hofmann)的身份盗窃保护服务提供商警告他,他的数据已被曝光并泄露到暗网上。网络犯罪集团USDoD列出了一个数据库,该数据库声称拥有大量的个人数据,以350万美元的价格出售。

霍夫曼和原告指控NPD疏忽大意、违反信托义务和第三方受益人合同以及不当得利。霍夫曼正在争取经济赔偿,并要求NPD分割数据、进行数据库扫描、采用威胁管理系统,并任命第三方评估员每年对其网络安全框架进行评估,为期10年。

法院已被要求责令NPD清除所有受影响个人的个人数据,并对所有收集的信息进行加密。

如果得到证实,这将被列为有史以来受影响人数最多的数据泄露事件之一——堪比雅虎2013年影响30亿用户的泄露事件——更糟糕的是,目前尚不清楚数据泄露是如何发生的。

但是,与“所有数据泄露之母”与“RockYou2024”相比,这个数据量稍少,但数据质量非常高。USDoD声称,这批数据中保存着敏感信息,例如社会安全号码、全名、家庭信息以及当前和过去的地址。

数据在暗网上出售

根据拟议案件的法庭卷宗,4月8日,威胁行为者USDoD在暗网上流行的地下论坛BreachForums上列出了National Public Data,声称拥有与29亿人相关的个人数据。

这意味着敏感信息(例如社保号、全名、地址、亲属信息)被泄露——而且至关重要的是,这也意味着这些信息不是公司自愿提供的,许多受害者可能根本不知道这些信息被存储了。

泄露的数据跨越2019年至2024年,共计29亿行,未压缩时大小为277.1GB,用户可以花费350万美元购买访问权限。

USDoD表示,它还将向买家提供访问NPD服务器的凭证。

法庭文件称,目前尚不清楚攻击是如何发生的,但USDoD在2024年4月之前获得了对网络的访问权,并能够窃取数十亿人的未加密个人信息。

暗网监控媒体vx-underground指出,USDoD澄清说,它只是JericoPictures数据出售的经纪人或中间人,而这一成就的功劳应该归功于网名“SXUL”的黑客。

受影响的个人不知道NPD收集了他们的PII

由于NPD从非公开来源抓取了PII,因此个人不会意识到该公司可以访问他们的敏感数据,也不会意识到这些数据可能已在暗网上泄露。

Vx-underground补充说,该数据库不包含任何使用数据退出服务的个人的信息。原告克里斯托弗·霍夫曼和其他数十亿人就没有那么幸运了。

霍夫曼声称,他收到了身份盗窃保护提供商的通知,通知他“他的PII因NPD被入侵而遭泄露,并随后出现在暗网上”。

卷宗指出,霍夫曼从未直接向NPD提供他的PII,并补充说,如果没有得到信息保密的保证和采取适当的预防措施防止泄露,他绝不会这样做。

法庭文件称,霍夫曼和其他受到此次入侵影响的个人并不是现有或以前的客户,但“不幸的是,他们的PII被[Jerico Pictures]在未经他们同意的情况下从非公开来源获取、挖掘和抓取”。

集体诉讼称,Jerico Pictures在获取、收集、使用受影响个人的PII并从中获益时,承担了法律和公平的责任,并且知道或至少应该知道,它有责任保护这些数据不被公开。

该诉讼寻求对事件造成的一系列伤害进行赔偿,包括侵犯隐私、PII价值的损失或贬值、试图减轻数据泄露后果而失去的机会成本等等。

圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《史上最大数据泄露事件之一,数十亿用户信息遭泄露》
文章链接:https://www.qxwa.com/billions-of-users-information-compromised-in-one-of-the-biggest-data-breaches-in-history.html
分享到: 生成海报

评论 抢沙发

科技圈动态,尽在圈小蛙

联系我们关注我们