Datalekken zijn een schijnbaar eindeloze plaag waar geen eenvoudig antwoord op bestaat, maar de inbreuken op de antecedenten van de afgelopen maanden illustreren hoe gevaarlijk en onherstelbaar ze zijn geworden. En na vier maanden van onduidelijkheid begint de situatie nu pas duidelijk te worden, nu nationale openbare gegevens maandag eindelijk de inbreuk erkennen, net zoals een schat aan gestolen gegevens publiekelijk online werd gelekt.
In april begon een hacker die bekend staat om het verkopen van gestolen informatie, bekend als USDoD, grote hoeveelheden gegevens op cybercriminele forums te verkopen voor 3,5 miljoen dollar, waarvan zij zeiden dat het 2,9 miljard records omvatte en ‘de hele bevolking van de VS, Californië en Groot-Brittannië’ trof. Naarmate de weken verstreken, begonnen er gegevenspatronen te ontstaan, terwijl andere actoren en legitieme onderzoekers hun best deden om de bron ervan te begrijpen en de informatie te valideren. Begin juni was het duidelijk dat ten minste een deel van de gegevens legitiem was en informatie bevatte zoals namen, e-mailadressen en fysieke adressen in verschillende combinaties.
De gegevens zijn niet altijd accuraat, maar lijken twee hoeveelheden informatie te bevatten. Eén die meer dan 100 miljoen legitieme e-mailadressen bevat, samen met andere informatie, en een andere die burgerservicenummers bevat, maar geen e-mailadressen.
“Het lijkt erop dat er een gegevensbeveiligingsincident heeft plaatsgevonden waarbij mogelijk enkele van uw persoonlijke gegevens betrokken zijn”, schreef National Public Data maandag. “Er wordt aangenomen dat bij het incident een slechte externe partij betrokken was die eind december 2023 probeerde gegevens te hacken, met het potentiële lekken van bepaalde gegevens in april 2024 en de zomer van 2024… De informatie waarvan werd vermoed dat deze was geschonden, omvatte de naam, het e-mailadres, telefoonnummer, burgerservicenummer en postadres(sen).”
Het bedrijf zei dat het samenwerkte met “wetshandhavings- en overheidsonderzoekers”. NPD wordt geconfronteerd met mogelijke class action-rechtszaken vanwege de schendingen.
“We zijn ongevoelig geworden voor het eindeloze lekken van persoonlijke gegevens, maar ik zou zeggen dat er een ernstig risico bestaat”, zegt veiligheidsonderzoeker Jeremiah Fowler, die de nationale situatie op het gebied van openbare gegevens in de gaten houdt. “Het zal misschien niet onmiddellijk gebeuren en het kan jaren duren voordat een van de vele criminele actoren er met succes achter komt hoe deze informatie kan worden misbruikt, maar het komt erop neer dat er een storm op komst is.”
Wanneer informatie uit één enkele bron wordt gestolen, zoals de klantgegevens van Target die van Target zijn gestolen, is het relatief eenvoudig om die bron te achterhalen. Maar wanneer informatie wordt gestolen van een datamakelaar en het bedrijf het incident niet meldt, is het veel ingewikkelder om te bepalen of de informatie legitiem is en waar deze vandaan komt. Meestal zijn de mensen van wie de gegevens bij de inbreuk zijn aangetast – de echte slachtoffers – zich er in de eerste plaats niet eens van bewust dat nationale openbare gegevens hun informatie bevatten.
In een blogpost van woensdag over de inhoud en oorsprong van nationale publieke dataverzamelingen schreef veiligheidsonderzoeker Troy Hunt: “De enige partijen die de waarheid kennen zijn de anonieme dreigingsactoren die de data doorsturen en de data-aggregator… We houden nog 134 miljoen over. e-mailadressen in het publieke domein en zonder duidelijke herkomst of verantwoordelijkheid.”