Datenschutzverstöße sind eine scheinbar endlose Geißel, auf die es keine einfache Antwort gibt, aber der Verstoß beim National Public Data Background Check Service in den letzten Monaten zeigt, wie gefährlich und hartnäckig sie geworden sind. Und nach vier Monaten der Unklarheit beginnt die Situation gerade erst an Fahrt zu gewinnen, da National Public Data am Montag endlich die Existenz des Verstoßes zugab, während ein Großteil der gestohlenen Daten online öffentlich offengelegt wurde.
Im April begann ein Hacker namens USDoD, der für den Verkauf gestohlener Informationen bekannt ist, für 3,5 Millionen US-Dollar damit, eine Menge Daten in Foren zur Cyberkriminalität zu verkaufen. Ihm zufolge umfassten diese Daten 2,9 Milliarden Datensätze und betrafen „die gesamte Bevölkerung der Vereinigten Staaten, Kaliforniens und des Vereinigten Königreichs“. Im Laufe der Wochen tauchten Datenproben auf, während andere Akteure und seriöse Forscher daran arbeiteten, ihre Quelle zu verstehen und die Informationen zu validieren. Anfang Juni war klar, dass zumindest einige der Daten legitim waren und Informationen wie Namen, E-Mails und physische Adressen in verschiedenen Kombinationen enthielten.
Die Daten sind nicht immer korrekt, aber sie scheinen zwei Arten von Informationen zu enthalten. Einer enthält mehr als 100 Millionen legitime E-Mail-Adressen und andere Informationen, der andere enthält Sozialversicherungsnummern, aber keine E-Mail-Adressen.
„Es scheint, dass ein Datensicherheitsvorfall einige Ihrer persönlichen Daten betroffen haben könnte“, schrieb National Public Data am Montag. „Es wird angenommen, dass an dem Vorfall Ende Dezember 2023 ein böswilliger Dritter beteiligt war, der versuchte, Daten zu hacken, wobei im April 2024 und im Sommer 2024 möglicherweise einige Daten verloren gingen … Die Informationen, die vermutlich gehackt wurden, enthielten den Namen, die E-Mail-Adresse und die Telefonnummer.“ , Sozialversicherungsnummer und Postanschrift(en). »
Das Unternehmen gibt an, mit „Strafverfolgungsbehörden und staatlichen Ermittlern“ zusammengearbeitet zu haben. Die NPD sieht sich im Zusammenhang mit diesem Verstoß mit möglichen Sammelklagen konfrontiert.
„Wir sind gegenüber dem ständigen Verlust personenbezogener Daten unempfindlich geworden, aber ich würde sagen, dass ein ernstes Risiko besteht“, sagt Jeremiah Fowler, ein Sicherheitsforscher, der die Situation bei National Public Data verfolgt. „Das Risiko ist möglicherweise nicht unmittelbar und es kann Jahre dauern, bis einer der vielen kriminellen Akteure versteht, wie er diese Informationen nutzt, aber Tatsache ist, dass sich ein Sturm zusammenbraut. »
Wenn Informationen aus einer einzigen Quelle gestohlen werden, beispielsweise den Kundendaten von Target, ist es relativ einfach, diese Quelle zu ermitteln. Wenn jedoch Informationen von einem Datenbroker gestohlen werden und das Unternehmen den Vorfall nicht meldet, ist es viel komplizierter festzustellen, ob die Informationen legitim sind und woher sie stammen. Normalerweise wissen die Personen, deren Daten bei einem Verstoß kompromittiert werden (die eigentlichen Opfer), nicht einmal, dass National Public Data überhaupt über ihre Informationen verfügte.
In einem am Mittwoch veröffentlichten Blogbeitrag über den Inhalt und die Herkunft der öffentlichen Daten des Landes schrieb der Sicherheitsforscher Troy Hunt: „Die einzigen Parteien, die die Wahrheit kennen, sind die anonymen Bedrohungsakteure, die die Daten übertragen, und der Datenaggregator … Wir.“ Übrig bleiben 134 Millionen E-Mail-Adressen im öffentlichen Umlauf und ohne klare Herkunft oder Verantwortlichkeit. »