一项针对背景调查公司National Public Data(NPD,也称为Jerico Pictures)提起的集体诉讼称,近30亿人的个人信息通过数据泄露进入暗网。
National Public Data使用一种称为“爬取”的方式来收集和存储来自非公共来源的个人身份数据,以对全球数十亿人进行背景调查。Jerico Pictures运营着“国家公共数据”(National Public Data,NPD),这是一项背景调查服务,可从非公开来源抓取个人身份信息(PII)。
数据落入网络犯罪分子手中
原告克里斯托弗·霍夫曼(Christopher Hofmann)的身份盗窃保护服务提供商警告他,他的数据已被曝光并泄露到暗网上。网络犯罪集团USDoD列出了一个数据库,该数据库声称拥有大量的个人数据,以350万美元的价格出售。
霍夫曼和原告指控NPD疏忽大意、违反信托义务和第三方受益人合同以及不当得利。霍夫曼正在争取经济赔偿,并要求NPD分割数据、进行数据库扫描、采用威胁管理系统,并任命第三方评估员每年对其网络安全框架进行评估,为期10年。
法院已被要求责令NPD清除所有受影响个人的个人数据,并对所有收集的信息进行加密。
如果得到证实,这将被列为有史以来受影响人数最多的数据泄露事件之一——堪比雅虎2013年影响30亿用户的泄露事件——更糟糕的是,目前尚不清楚数据泄露是如何发生的。
但是,与“所有数据泄露之母”与“RockYou2024”相比,这个数据量稍少,但数据质量非常高。USDoD声称,这批数据中保存着敏感信息,例如社会安全号码、全名、家庭信息以及当前和过去的地址。
数据在暗网上出售
根据拟议案件的法庭卷宗,4月8日,威胁行为者USDoD在暗网上流行的地下论坛BreachForums上列出了National Public Data,声称拥有与29亿人相关的个人数据。
这意味着敏感信息(例如社保号、全名、地址、亲属信息)被泄露——而且至关重要的是,这也意味着这些信息不是公司自愿提供的,许多受害者可能根本不知道这些信息被存储了。
泄露的数据跨越2019年至2024年,共计29亿行,未压缩时大小为277.1GB,用户可以花费350万美元购买访问权限。
USDoD表示,它还将向买家提供访问NPD服务器的凭证。
法庭文件称,目前尚不清楚攻击是如何发生的,但USDoD在2024年4月之前获得了对网络的访问权,并能够窃取数十亿人的未加密个人信息。
暗网监控媒体vx-underground指出,USDoD澄清说,它只是JericoPictures数据出售的经纪人或中间人,而这一成就的功劳应该归功于网名“SXUL”的黑客。
受影响的个人不知道NPD收集了他们的PII
由于NPD从非公开来源抓取了PII,因此个人不会意识到该公司可以访问他们的敏感数据,也不会意识到这些数据可能已在暗网上泄露。
Vx-underground补充说,该数据库不包含任何使用数据退出服务的个人的信息。原告克里斯托弗·霍夫曼和其他数十亿人就没有那么幸运了。
霍夫曼声称,他收到了身份盗窃保护提供商的通知,通知他“他的PII因NPD被入侵而遭泄露,并随后出现在暗网上”。
卷宗指出,霍夫曼从未直接向NPD提供他的PII,并补充说,如果没有得到信息保密的保证和采取适当的预防措施防止泄露,他绝不会这样做。
法庭文件称,霍夫曼和其他受到此次入侵影响的个人并不是现有或以前的客户,但“不幸的是,他们的PII被[Jerico Pictures]在未经他们同意的情况下从非公开来源获取、挖掘和抓取”。
集体诉讼称,Jerico Pictures在获取、收集、使用受影响个人的PII并从中获益时,承担了法律和公平的责任,并且知道或至少应该知道,它有责任保护这些数据不被公开。
该诉讼寻求对事件造成的一系列伤害进行赔偿,包括侵犯隐私、PII价值的损失或贬值、试图减轻数据泄露后果而失去的机会成本等等。