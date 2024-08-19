I dati di miliardi di persone sono stati pubblicati sul dark web intorno all'8 aprile 2024, a causa di una singola violazione dei dati pubblici nazionali. Tuttavia, molte delle vittime non sono ancora a conoscenza della loro esposizione perché non hanno ancora ricevuto una notifica o una dichiarazione dall'azienda.
Di recente, una delle vittime ha intentato una class action dopo aver appreso che i suoi dati erano stati violati quando ha ricevuto una notifica da un fornitore di servizi di protezione contro il furto di identità. Cosa significherà questo per le persone i cui dati sono stati venduti inconsapevolmente sul dark web?
National Public Data, di proprietà di Jerico Pictures, Inc., raccoglie dati in qualità di azienda di verifica dei precedenti penali con sede in Florida. I consumatori inclusi nei database di National Public Data non hanno acconsentito a fornire i loro dati all'azienda.
Secondo la causa intentata da Christopher Hofmann, un gruppo di criminali informatici chiamato USDoD ha pubblicato un database contenente i dati privati di 2,9 miliardi di cittadini statunitensi, inclusi nomi completi, numeri di previdenza sociale e indirizzi sul dark web. I dati includevano anche informazioni sui parenti degli individui. Uno degli aspetti unici dei dati era la longevità: gli indirizzi coprivano decenni di residenza e alcuni parenti erano deceduti addirittura da due decenni.
Il gruppo di hacker ha stimato il prezzo di acquisto del database in 3,5 milioni di dollari. VX-Underground, un sito web didattico incentrato sulla cybersecurity, ha confermato che le informazioni contenute nel database da 277,1 GB erano reali e accurate dopo essere stato informato dal gruppo della sua intenzione di far trapelare il database. Poiché National Public Data non è vincolata dai requisiti CIRCIA per le infrastrutture critiche, l'azienda non era tenuta a segnalare la violazione entro 72 ore.
“Queste informazioni personali identificabili (PII) non crittografate e non redatte sono state compromesse, pubblicate e poi vendute sul Dark Web, a causa di atti e omissioni negligenti e/o imprudenti da parte dell’imputato e della sua totale incapacità di proteggere i dati sensibili dei clienti. Gli hacker hanno preso di mira e ottenuto le informazioni personali identificabili del querelante e dei membri della classe a causa del loro valore nello sfruttamento e nel furto delle identità del querelante e dei membri della classe. Il rischio attuale e continuo per le vittime della violazione dei dati rimarrà per tutta la loro vita", si legge nella causa.
Oltre a non aver informato le vittime, National Public Data non ha rilasciato una dichiarazione pubblica riguardo alla violazione. Il Los Angeles Times ha riferito che l'azienda ha risposto alle richieste via e-mail con "Siamo consapevoli di alcune affermazioni di terzi sui dati dei consumatori e stiamo indagando su questi problemi". La causa cita la mancanza di notifica come una delle principali preoccupazioni del querelante.
Nella causa, Hofmann ha chiesto azioni specifiche da parte di National Public Data, tra cui un risarcimento monetario. Ha chiesto che National Public Data eliminasse tutti i dati personali identificativi violati. Inoltre, vuole che l'azienda cripti tutti i dati in futuro, utilizzi la segmentazione dei dati, scansioni i database e lanci un programma di gestione delle minacce. Inoltre, desidera che una valutazione del framework di cybersecurity venga condotta annualmente fino al 2034.
Sebbene i dettagli siano ancora in evoluzione, questa violazione sembra essere la più grande, o una delle più grandi, violazioni di dati di tutti i tempi. Poiché la violazione di Yahoo del 2013 includeva 3 miliardi di accounte la violazione dei dati sembra includere 2,9 miliardi di persone, Yahoo potrebbe ancora detenere il record dopo che le acque si saranno calmate dopo quest'ultima violazione. I precedenti detentori del secondo e terzo posto passeranno al terzo e al quarto dopo che questa violazione sarà entrata nei registri. La violazione di River City Media del 2017 ha coinvolto 1,37 miliardi di record, mentre la violazione di Aadhaar del 2018 ne ha contati 1,1 miliardi.
Mentre gli esperti prevedono la decisione in merito, molti si rivolgono agli eventi passati per fare un confronto. In una causa simile intentata contro Yahoo, la giudice distrettuale degli Stati Uniti Lucy Koh ha respinto l'accordo di Yahoo per il pagamento nel 2019 di 200 milioni di individui colpiti con quasi 1 miliardo di account. Koh ha respinto l'offerta di accordo per i seguenti motivi:
I consumatori dovrebbero continuare a monitorare l'evoluzione della situazione attuale per sapere se i loro dati sono stati violati. Per precauzione, gli individui dovrebbero monitorare attentamente i propri rapporti di credito e conti bancari e non rispondere a informazioni o richieste di conto non richieste.
"Se questo è in effetti l'intero dossier su tutti noi, è certamente molto più preoccupante delle violazioni precedenti", ha dichiarato al Los Angeles Times Teresa Murray, direttrice del Consumer Watchdog per l'U.S. Public Information Research Group . "E se le persone non hanno preso precauzioni in passato, cosa che avrebbero dovuto fare, questo dovrebbe essere un campanello d'allarme per loro".
