Recientemente se filtró en línea un volcado de datos que contiene 2.700 millones de registros de información personal de personas que viven en los EE. UU., incluidos sus números de seguro social. El contenido del volcado de datos estaba vinculado a National Public Data, una empresa que extrae información de fuentes no públicas y la vende para verificación de antecedentes. Ahora, la empresa tiene confirmado que tuvo “un incidente de seguridad de datos” en el que se robaron nombres, correos electrónicos, direcciones, números de teléfono, números de seguro social y direcciones postales de personas.
La redacción de National Public Data en su informe de incidentes de seguridad es un poco vaga y complicada, pero culpó de la violación de seguridad a un tercero. Dijo que el mal actor “estaba intentando piratear datos a finales de diciembre de 2023” y que se produjeron “posibles filtraciones de ciertos datos” en abril de 2024 y en el verano de 2024, lo que indica que el pirata informático se había infiltrado con éxito en su sistema. En abril, un actor de amenazas conocido como USDoD intentó vender 2.900 millones de registros de personas que viven en Estados Unidos, Reino Unido y Canadá por 3,5 millones de dólares. Afirmó que robó la información de Datos Públicos Nacionales. Desde entonces, los registros se han filtrado en fragmentos en línea y el más reciente es más completo y contiene información más confidencial.
La compañía dijo que trabajó con las autoridades para revisar los registros potencialmente afectados y que “tratará de notificar” a las personas “si hay más novedades significativas aplicables” a ellos. También dijo que publicó el aviso para que quienes pudieran verse afectados puedan tomar medidas. La compañía aconseja a las personas que controlen sus cuentas financieras en busca de transacciones fraudulentas y también las alienta a obtener informes crediticios gratuitos y a incluir una alerta de fraude en sus archivos.
National Public Data ya se enfrenta a una propuesta de demanda colectiva presentada a principios de agosto por un demandante que recibió una notificación de su servicio de protección contra el robo de identidad de que su información personal había sido publicada en la web oscura. Argumentaron que la empresa no “protegió ni salvaguardó adecuadamente la información de identificación personal que recopiló y mantuvo como parte de sus prácticas comerciales habituales”.
