Data breaches adalah masalah yang tampaknya tak berujung tanpa jawaban yang sederhana, tetapi pelanggaran dalam beberapa bulan terakhir terhadap layanan pemeriksaan latar belakang National Public Data mengilustrasikan betapa berbahayanya dan sulitnya situasi tersebut. Dan setelah empat bulan ambigu, situasi baru mulai terlihat dengan jelas ketika National Public Data akhirnya mengakui pelanggaran pada hari Senin ketika sejumlah data yang dicuri bocor ke publik secara online.
Pada bulan April, seorang peretas yang dikenal karena menjual informasi yang dicuri, yang dikenal sebagai USDoD, mulai menjual sejumlah data di forum-forum kriminal online seharga $3,5 juta yang katanya mencakup 2,9 miliar catatan dan memengaruhi “seluruh populasi AS, CA, dan UK.” Seiring berjalannya waktu, sampel data mulai muncul ketika aktor lain dan peneliti sah bekerja untuk memahami sumbernya dan memvalidasi informasi tersebut. Pada awal Juni, jelas bahwa setidaknya sebagian dari data tersebut sah dan berisi informasi seperti nama, email, dan alamat fisik dalam berbagai kombinasi.
Data tidak selalu akurat, tetapi tampaknya melibatkan dua trove informasi. Satu yang mencakup lebih dari 100 juta alamat email sah beserta informasi lain dan yang kedua mencakup nomor Social Security tetapi tidak ada alamat email.
“Tampaknya telah terjadi insiden keamanan data yang mungkin melibatkan sebagian informasi pribadi Anda,” tulis National Public Data pada hari Senin. “Insiden tersebut diyakini melibatkan pihak jahat pihak ketiga yang mencoba meretas data pada akhir Desember 2023, dengan potensi kebocoran data tertentu pada April 2024 dan musim panas 2024 … Informasi yang diduga telah diretas berisi nama, alamat email, nomor telepon, nomor Social Security, dan alamat surat.”
Perusahaan mengatakan telah berkerjasama dengan “penegak hukum dan penyelidik pemerintah.” NPD menghadapi potensi gugatan class action atas pelanggaran tersebut.
“Kita telah menjadi kebal terhadap kebocoran data pribadi yang tidak pernah berakhir, tetapi saya bilang ada risiko serius,” kata peneliti keamanan Jeremiah Fowler, yang telah mengikuti situasi dengan National Public Data. “Mungkin tidak langsung, dan bisa memakan waktu bertahun-tahun bagi salah satu pelaku kriminal untuk berhasil mencari tahu cara menggunakan informasi ini, tetapi intinya adalah badai akan datang.”
Ketika informasi dicuri dari satu sumber, seperti data pelanggan Target yang dicuri dari Target, relatif mudah untuk menetapkan sumbernya. Tetapi ketika informasi dicuri dari broker data dan perusahaan tersebut tidak mengungkapkan insiden tersebut, jauh lebih rumit untuk menentukan apakah informasi tersebut sah dan dari mana asalnya. Biasanya, orang yang data pribadinya dikompromikan dalam pelanggaran—korban sejati—bahkan tidak sadar bahwa National Public Data menyimpan informasi mereka pada awalnya.
Dalam posting blog pada hari Rabu tentang isi dan asal muasal trove National Public Data, peneliti keamanan Troy Hunt menulis, “Hanya pihak-pihak yang tahu kebenarannya adalah para pelaku ancaman anonim yang melempar data tersebut dan agregator data … Kita dibiarkan dengan 134 juta alamat email dalam sirkulasi publik dan tidak ada asal atau akuntabilitas yang jelas.”