Theo Bleeping Computer, dữ liệu bao gồm 2,7 tỷ hồ sơ dữ liệu bị rò rỉ có số an sinh xã hội của người Mỹ đã bị đánh cắp từ National Public Data, một công ty thu thập và bán quyền truy cập vào dữ liệu cá nhân để sử dụng trong việc kiểm tra lý lịch, lấy hồ sơ tội phạm và cho các thám tử tư. Dữ liệu này được cho là thu thập thông tin từ các nguồn công khai để biên soạn hồ sơ người dùng cá nhân cho mọi người ở Mỹ và các quốc gia khác.
Vào tháng 4, một tác nhân đe dọa có tên USDoD đã tuyên bố bán 2,9 tỷ hồ sơ chứa dữ liệu cá nhân của người dân ở Mỹ, Vương quốc Anh và Canada bị đánh cắp từ National Public Data.
Ở thời điểm đó, kẻ tấn công đã cố gắng bán dữ liệu với giá 3,5 triệu USD và khẳng định rằng dữ liệu này chứa thông tin về mọi cá nhân ở ba quốc gia kể trên.
USDoD là một tác nhân đe dọa đã được biết đến trước đây có liên quan đến vụ bán cơ sở dữ liệu người dùng của InfraGard vào tháng 12/2023 với giá 50.000 USD. Vào thời điểm đó, các chuyên gia bảo mật của BleepingComputer đã liên hệ với National Public Data nhưng không nhận được phản hồi.
Kể từ thời điểm kể trên, nhiều tác nhân đe dọa đã phát hành một số bản sao dữ liệu, mỗi bản sao chia sẻ một số lượng bản ghi khác nhau và trong một số trường hợp là dữ liệu khác nhau.
Vào ngày 6/8, một tác nhân đe dọa được biết đến với cái tên "Fenice" đã tiết lộ phiên bản đầy đủ nhất của dữ liệu National Public Data bị đánh cắp miễn phí trên diễn đàn hack Breached. Tuy nhiên, Fenice cho biết vụ vi phạm dữ liệu được thực hiện bởi một tác nhân đe dọa khác có tên "SXUL", chứ không phải USDoD.
Dữ liệu bị rò rỉ bao gồm hai tệp văn bản có tổng dung lượng 277 GB và chứa gần 2,7 tỷ bản ghi văn bản thuần túy, thay vì con số 2,9 tỷ ban đầu được USDoD chia sẻ.
Mặc dù BleepingComputer không thể xác nhận liệu vụ rò rỉ này có chứa dữ liệu của mọi người dân Mỹ hay không, nhưng nhiều người đã xác nhận rằng nó bao gồm thông tin hợp pháp của họ và các thành viên gia đình, bao gồm cả những người đã mất.
Mỗi hồ sơ bao gồm các thông tin sau - tên , địa chỉ gửi thư và số an sinh xã hội của một người, một số hồ sơ bao gồm thông tin bổ sung, như tên khác liên quan đến người đó. Không có dữ liệu nào trong số này được mã hóa.
Các mẫu dữ liệu bị rò rỉ trước đây cũng bao gồm số điện thoại và địa chỉ email, nhưng những thông tin này không được bao gồm trong vụ rò rỉ hồ sơ 2,7 tỷ hồ sơ dữ liệu này.
Theo các chuyên gia, điều quan trọng cần lưu ý là một người sẽ có nhiều hồ sơ, một hồ sơ cho mỗi địa chỉ mà họ được biết là đã từng sống. Điều này cũng có nghĩa là vi phạm dữ liệu này không ảnh hưởng đến 3 tỷ người như đã được báo cáo sai trong nhiều bài báo không nghiên cứu dữ liệu đúng cách.
Một số người cũng nói với BleepingComputer rằng số an sinh xã hội của họ được liên kết với những người khác mà họ không biết, vì vậy không phải mọi thông tin đều chính xác.
Cuối cùng, dữ liệu này có thể đã lỗi thời vì nó không chứa địa chỉ hiện tại của bất kỳ người nào mà các chuyên gia đã kiểm tra, điều này có khả năng chỉ ra rằng dữ liệu được lấy từ bản sao lưu cũ.
Vụ vi phạm dữ liệu đã dẫn đến nhiều vụ kiện tập thể chống lại Jerico Pictures, được cho là hoạt động dưới tên National Public Data, vì không bảo vệ dữ liệu của mọi người một cách thỏa đáng.
Vụ việc lộ lọt dữ liệu kể trên tiếp tục làm dấy lên những mối e ngại lớn đối với người dùng tại Mỹ khi hàng loạt các vụ việc tương tự cũng diễn ra thời gian gần đây. Tháng trước, nhà mạng hàng đầu của Mỹ là AT&T cũng đã phải lên tiếng thừa nhận bị hacker tấn công, làm lộ thông tin cuộc gọi, tin nhắn của "gần như tất cả" khách hàng (khoảng 110 triệu khách hàng sử dụng mạng không dây của công ty). Trước đó nữa, hồi tháng 3 năm nay, AT&T cũng thông báo 7,6 triệu tài khoản khách hàng hiện tại và 65,4 triệu tài khoản khách hàng cũ bị bán trên "chợ đen". AT&T cho biết dữ liệu có thể bị lấy sau một vụ tấn công từ năm 2019 hoặc sớm hơn.
Theo các chuyên gia, vì dữ liệu bị lộ lọt có thể chứa các thông tin quan trọng như số an sinh xã hội, địa chỉ, email, số điện thoại.... nên người dùng cần đặc biệt cẩn trọng đối với các tin nhắn có dấu hiệu lừa đảo cũng như các cuộc gọi, tin nhắn SMS cố gắng lừa người dùng cung cấp những thông tin nhạy cảm liên quan đến cá nhân.
