Le cauchemar à combustion lente de la violation des données publiques nationales
Les violations de données sont un fléau en constante augmentation sans réponse simple, mais la violation du service de vérification des antécédents National Public Data ces derniers mois illustre à quel point elles sont devenues dangereuses et insolubles. Après quatre mois d’ambiguïté, la situation commence enfin à se clarifier, avec National Public Data reconnaissant enfin la violation lundi, alors qu’une mine de données volées a fuité publiquement en ligne.
En avril, un hacker connu pour vendre des informations volées, surnommé USDoD, a commencé à proposer une mine de données sur des forums de cybercriminels pour 3,5 millions de dollars, affirmant qu’elle comprenait 2,9 milliards d’enregistrements et affectait « toute la population des États-Unis, du Canada et du Royaume-Uni ». Avec le temps, des échantillons des données ont commencé à apparaître alors que d’autres acteurs et chercheurs légitimes travaillaient à en comprendre la source et à valider les informations. Début juin, il était clair qu’au moins certaines données étaient légitimes et contenaient des informations telles que des noms, des adresses e-mails et physiques dans diverses combinaisons.
Les données ne sont pas toujours exactes, mais semblent concerner deux mines d’informations. Une qui inclut plus de 100 millions d’adresses e-mail légitimes avec d’autres informations, et une seconde qui inclut des numéros de sécurité sociale mais pas d’adresses e-mail.
« Une violation de sécurité des données semble avoir eu lieu et aurait pu impliquer certaines de vos informations personnelles », a écrit National Public Data lundi. « On pense que l’incident a impliqué un tiers malveillant qui a tenté de pirater des données fin décembre 2023, avec des fuites potentielles de certaines données en avril 2024 et à l’été 2024 … Les informations suspectées d’avoir été violées contenaient les noms, adresses e-mail, numéros de téléphone, numéros de sécurité sociale et adresses postales. »
La société affirme coopérer avec « les forces de l’ordre et les enquêteurs gouvernementaux ». NPD est confronté à des poursuites potentielles en action collective pour la violation.
« Nous sommes devenus insensibles aux fuites sans fin de données personnelles, mais je dirais qu’il y a un risque sérieux », déclare le chercheur en sécurité Jeremiah Fowler, qui suit la situation avec National Public Data. « Cela peut ne pas être immédiat, et il pourrait falloir des années à l’un des nombreux acteurs criminels pour découvrir comment utiliser ces informations, mais en fin de compte, une tempête approche. »
Lorsqu’une information est volée à une seule source, comme les données client de Target volées à Target, il est relativement simple d’établir cette source. Mais lorsque des informations sont volées à un courtier en données et que l’entreprise ne reconnaît pas l’incident, il est beaucoup plus compliqué de déterminer si les informations sont légitimes et d’où elles viennent. En général, les personnes dont les données ont été compromises lors d’une violation – les véritables victimes – ne sont même pas conscientes que National Public Data détenait leurs informations en premier lieu.
Dans un article de blog mercredi sur le contenu et la provenance de la mine de National Public Data, le chercheur en sécurité Troy Hunt a écrit : « Les seules parties qui connaissent la vérité sont les acteurs de menace anonymes qui échangent les données et l’agrégateur de données … Nous nous retrouvons avec 134 millions d’adresses e-mail en circulation publique et aucune origine claire ou responsabilité. »