Setelah bertahun-tahun melacak dan menyelidiki pelanggaran data, Greg Pollock mengakui bahwa saat menemukan basis data terekspos lain yang penuh kata sandi dan nomor Jaminan Sosial, "Saya menghadapinya dengan rasa lelah tertentu." Namun Pollock, Direktur Riset di perusahaan keamanan siber UpGuard, menyatakan bahwa ia dan rekan-rekannya menemukan basis data terekspos yang dapat diakses publik secara daring pada Januari lalu. Basis data itu tampaknya berisi kumpulan besar data pribadi sensitif warga Amerika, yang begitu masif sehingga kelelahannya sirna dan mereka segera bertindak untuk memvalidasi temuan tersebut.
Para peneliti UpGuard mencatat bahwa tidak semua catatan mewakili informasi unik dan valid, namun total mentah yang mereka temukan dalam paparan Januari itu mencakup sekitar 3 miliar alamat surel dan kata sandi, serta sekitar 2,7 miliar catatan yang mencakup nomor Jaminan Sosial. Tidak jelas siapa yang menyiapkan basis data tersebut, tetapi tampaknya berisi rincian pribadi yang mungkin dihimpun dari berbagai pelanggaran data historis—termasuk, kemungkinan, kumpulan data dari pelanggaran layanan pemeriksaan latar belakang National Public Data pada 2024. Memang umum bagi broker data dan penjahat siber untuk menggabungkan dan mengolah ulang set data lama, namun skala dan kuantitas potensial nomor Jaminan Sosial—meski hanya sebagian yang asli—sangat mencolok.
"Setiap minggu, ada temuan lain yang terlihat besar di atas kertas, tapi mungkin tidak terlalu baru," kata Pollock. "Jadi saya terkejut ketika mulai menyelidiki kasus-kasus spesifik di sini untuk memvalidasi data. Dalam beberapa kasus, identitas dalam pelanggaran data ini berisiko karena telah terekspos, tetapi belum dieksploitasi."
Data tersebut dihosting oleh penyedia awan Jerman, Hetzner. Karena Pollock tidak dapat mengidentifikasi pemilik basis data untuk dihubungi, ia memberi tahu Hetzner pada 16 Januari. Perusahaan tersebut kemudian menyatakan telah memberitahu pelanggannya, yang menghapus data pada 21 Januari. Hetzner tidak memberikan komentar kepada WIRED sebelum publikasi.
Para peneliti tidak mengunduh seluruh set data untuk dianalisis karena ukuran dan sensitivitasnya. Sebagai gantinya, mereka bekerja dengan sampel 2,8 juta catatan—hanya sebagian kecil dari total kumpulan. Dengan menganalisis tren dalam data, termasuk popularitas referensi budaya tertentu dalam kata sandi, mereka menyimpulkan bahwa sebagian besar data kemungkinan berasal dari Amerika Serikat sekitar tahun 2015. Misalnya, kata sandi yang merujuk pada One Direction, Fall Out Boy, dan Taylor Swift sangat umum. Sementara itu, referensi ke Blackpink, Katseye, dan Btsarmy baru mulai muncul.
Data lama tetap berharga karena dua alasan. Pertama, orang sering menggunakan kembali alamat surel dan kata sandi yang sama, atau variasinya, di berbagai situs web dan layanan. Ini berarti penjahat siber dapat terus mencoba kredensial masuk yang sama untuk orang yang sama seiring waktu. Alasan kedua adalah bahwa nomor Jaminan Sosial seseorang sering kali terhubung dengan data paling sensitif dan bernilai tinggi, namun hampir tidak pernah berubah seumur hidup mereka. Akibatnya, SSN yang valid merupakan salah satu harta karun pencurian identitas bagi penyerang.
Dalam sampel data yang ditinjau para peneliti, Pollock menyebutkan bahwa satu dari empat nomor Jaminan Sosial tampak valid dan sah. Sampel terlalu kecil untuk diekstrapolasi ke seluruh set data, namun seperempat dari semua catatan yang berisi SSN akan berjumlah 675 juta. Sebagian kecil dari angka itu tetap mewakili sejumlah nomor Jaminan Sosial yang sangat signifikan.
Untuk memverifikasi data, peneliti UpGuard menghubungi sejumlah orang yang datanya muncul dalam kumpulan bocor tersebut. Pollock menekankan bahwa salah satu temuan paling mengkhawatirkan dari percakapan dengan individu-individu itu adalah bahwa tidak semua dari mereka mengalami pencurian identitas atau peretasan. Dengan kata lain, terdapat informasi dalam basis data yang belum dieksploitasi oleh penjahat siber—dan calon korban tidak selalu tahu bahwa informasi mereka telah terekspos.