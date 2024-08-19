Bilhões de dados de pessoas foram publicados na dark web por volta de 8 de abril de 2024 — a partir de uma única violação da National Public Data. No entanto, muitas das vítimas ainda não sabem de sua exposição porque ainda não receberam uma notificação ou declaração da empresa.
Recentemente, uma das vítimas entrou com uma ação coletiva depois de saber que seus dados foram violados quando receberam uma notificação de um provedor de serviços de proteção contra roubo de identidade. O que isso significa para as pessoas cujos dados foram vendidos na dark web sem saber?
A National Public Data, de propriedade da Jerico Pictures, Inc., coleta dados como uma empresa de verificação de antecedentes sediada na Flórida. Os consumidores incluídos nos bancos de dados da National Public Data não autorizaram o fornecimento de seus dados à empresa.
De acordo com o processo movido por Christopher Hofmann, um grupo de cibercriminosos chamado USDoD publicou na dark web um banco de dados contendo informações privadas de 2,9 bilhões de cidadãos americanos, incluindo nomes completos, números de segurança social e endereços. Os dados também incluíam informações sobre os familiares dos indivíduos. Um dos aspectos únicos dos dados foi a longevidade — os endereços abrangiam décadas de residência, e alguns pacientes já haviam falecido há duas décadas.
O grupo de hackers colocou um preço de compra no banco de dados de USD 3,5 milhões. O VX-Underground, um site educacional focado em cibersegurança, confirmou que as informações no banco de dados de 277,1 GB eram reais e precisas após serem informadas pelo grupo sobre sua intenção de vazar o banco de dados. Como a National Public Data não está vinculado aos requisitos do CIRCIA para infraestrutura crítica, a empresa não foi obrigada a relatar a violação dentro de 72 horas.
“Esta IIP não criptografada e não editada foi comprometida, publicada e depois vendida na Dark Web, devido aos atos e omissões negligentes e/ou descuidados do Réu e à sua total falha em proteger os dados confidenciais dos clientes. Os hackers direcionaram e obtiveram as PII do demandante e dos membros do grupo devido ao seu valor na exploração e roubo das identidades do demandante e dos membros do grupo. O risco presente e contínuo para as vítimas da violação de dados permanecerá por toda a vida delas”, afirmou o processo.
Além de não informar as vítimas, a National Public Data não divulgou uma declaração pública sobre a violação. O Los Angeles Times relatou que a empresa respondeu às consultas por e-mail com "Estamos cientes de certas alegações de terceiros sobre dados de consumidores e estamos investigando esses problemas". A ação menciona a falta de notificação como uma das principais preocupações do autor.
Na ação judicial, Hofmann pediu ações específicas da National Public Data, incluindo o fornecimento de alívio monetário. Ele solicitou que a National Public Data eliminasse todas as PII violadas. Além disso, ele quer que a empresa criptografe todos os dados daqui para frente, use segmentação de dados, escaneie seus bancos de dados e lance um programa de gerenciamento de ameaças. Além disso, ele gostaria que uma avaliação do framework de cibersegurança fosse realizada anualmente até 2034.
Embora os detalhes ainda estejam em evolução, essa violação parece ser a maior (ou uma das maiores) violação de dados de todos os tempos. Como a violação do Yahoo de 2013 incluiu 3 bilhões de contase a violação da National Public Data parece incluir 2,9 bilhões de pessoas, o Yahoo ainda pode deter o recorde depois que a poeira baixar dessa última violação. Os segundos e terceiros lugares reservados migrarão para os terceiros e quartos depois que essa violação atingir os livros de registros. A violação da River City Media de 2017 envolveu 1,37 bilhão de registros, enquanto a violação de Aadhaar de 2018 continha 1,1 bilhão.
Enquanto os especialistas estão prevendo a decisão nesse assunto, muitos estão recorrendo a eventos passados para comparação. Em uma ação judicial semelhante movida contra o Yahoo, a juíza distrital dos EUA, Lúcia Koh, rejeitou o acordo do Yahoo para pagamento em 2019 para 200 milhões de indivíduos afetados com quase 1 bilhão de contas. Koh rejeitou a oferta de acordo pelos seguintes motivos:
Os consumidores devem continuar monitorando a situação atual à medida que ela evolui para saber se seus dados foram violados. Como precaução, os indivíduos devem monitorar cuidadosamente seus relatórios de crédito e contas bancárias e não responder a informações não solicitadas ou solicitações de contas.
“Se este for de fato o dossiê completo sobre todos nós, certamente é muito mais preocupante do que as violações anteriores”, disse Teresa Murray, Diretora da Consumer Watchdog, do U.S. Public Information Research Group, ao Los Angeles Times. "E se as pessoas não estavam tomando precauções no passado, o que deveriam estar fazendo, isso deveria ser um alerta de alerta para elas."
