National Public Data, sebuah perusahaan yang mengumpulkan data pribadi untuk dijual kembali dan memproses pemeriksaan latar belakang, adalah target dari tuntutan hukum kelas yang diusulkan yang menuduh bahwa itu adalah sumber dari kebocoran data besar-besaran yang mencakup informasi seperti nomor Social Security dan lebih dari sekitar “3 miliar orang,” sesuai dengan Bloomberg Law.
Seperti dilaporkan oleh BleepingComputer, basis data yang diduga dicuri ditawarkan untuk dijual di web gelap pada bulan April oleh kelompok peretas yang dikenal sebagai USDoD seharga $3,5 juta. Mereka mengiklankan rampasan tersebut sebagai 2,9 miliar baris data yang berasal dari National Public Data (NPD) — nama DBA yang dilaporkan dari Jerico Pictures, Inc. NPD belum memberikan komentar publik tentang kebocoran yang diduga atau merespons pertanyaan.
BleepingComputer melaporkan bahwa beberapa sumber telah merilis salinan parsial dan bahwa setiap catatan berisi nama, alamat surat-menyurat, dan nomor Social Security, serta alias yang mungkin ada dalam beberapa kasus untuk orang-orang di AS, Kanada, dan Inggris. Banyak dari catatan tersebut adalah duplikat, jadi jumlah orang yang mungkin terpengaruh jauh lebih kecil. Peretas dan pelacak malware @vxunderground di X juga melihat data tersebut dan mencatat bahwa tidak ada catatan untuk orang-orang yang menggunakan layanan penghapusan data, mendukung gagasan bahwa data tersebut berasal dari pengumpul data.
Jika Anda telah menerima peringatan bahwa informasi Anda termasuk dalam kebocoran data, selain menjaga kewaspadaan terhadap aktivitas mencurigakan di laporan kredit Anda, BleepingComputer juga memperingatkan orang untuk waspada terhadap penipuan dan serangan phishing menggunakan informasi yang bocor yang mungkin mencoba membuat Anda mengungkapkan informasi pribadi lebih lanjut.
Operator Have I Been Pwned Troy Hunt memiliki pengalaman dalam melihat kebocoran data serupa. Dia melacak dan mengurutkan informasi mereka untuk situsnya untuk memberi tahu orang jika informasi mereka telah dikompromikan, dan dia mengatakan bahwa ada beberapa hal aneh tentang set data ini yang membuat seluruhnya “…hanya informatif, cerita menarik yang tidak memerlukan tindakan lebih lanjut.”
Di blog Hunt, dia menulis bahwa “tidak ada cara yang ringkas untuk menjelaskan nuansa” dari pelanggaran karena sumber yang diduga dari pelanggaran adalah perusahaan dengan data pribadi yang tidak diberikan langsung kepadanya, sehingga sulit dilacak.
Hunt melihat data dan menemukan satu set dengan nomor Social Security tetapi tanpa alamat email, sementara yang lain memiliki 100 juta alamat email unik, tetapi sisanya dari data tersebut “cukup acak dalam penampilannya.” Dia menemukan emailnya dalam daftar tetapi mengkonfirmasi bahwa informasi yang ada di sebelahnya tidak akurat. Hunt menambahkan:
Terakhir, saya ingin menekankan kembali suatu poin yang saya buat sebelumnya: tidak ada alamat email dalam file nomor Social Security. Jika Anda menemukan diri Anda dalam pelanggaran data ini melalui HIBP, tidak ada bukti bahwa SSN Anda bocor, dan jika Anda dalam situasi yang sama dengan saya, data di sebelah catatan Anda mungkin bahkan tidak benar.