Los datos de miles de millones de personas se publicaron en la dark web alrededor del 8 de abril de 2024, a partir de una sola filtración de datos públicos nacionales. Sin embargo, muchas de las víctimas aún desconocen su exposición porque aún no recibieron ninguna notificación ni declaración de la empresa.
Recientemente, una de las víctimas presentó una demanda colectiva tras enterarse de que sus datos fueron vulnerados cuando recibió una notificación de un proveedor de servicios de protección contra robo de identidad. ¿Qué significará esto para las personas cuyos datos se vendieron sin saberlo en la dark web?
National Public Data, propiedad de Jerico Pictures, Inc., recopila datos como una empresa de verificación de antecedentes con sede en Florida. Los consumidores incluidos en las bases de datos de National Public Data no dieron su consentimiento para dar sus datos a la empresa.
Según la demanda presentada por Christopher Hofmann, un grupo delictivo cibernético llamado USDoD publicó una base de datos que contiene los datos privados de 2.9 mil millones de ciudadanos estadounidenses, incluyendo direcciones, números de seguridad social y nombres completos en la dark web. Los datos también incluían información sobre los familiares de las personas. Uno de los aspectos únicos de los datos era la longevidad: las direcciones abarcaban décadas de residencia, y algunos familiares llevaban fallecidos hasta dos décadas.
El grupo de hackers puso un precio de compra en la base de datos de 3.5 millones de dólares. VX-Underground, un sitio web educativo enfocado en ciberseguridad, confirmó que la información en la base de datos de 277.1 GB era real y precisa luego de ser informado por el grupo de su intención de filtrar la base de datos. Dado que National Public Data no está sujeta a los requisitos de CIRCIA para infraestructuras críticas, la empresa no estaba obligada a informar la filtración dentro de 72 horas.
“Esta PII no cifrada y no redactada se vio comprometida, y fue publicada y luego vendida en la dark web, debido a los actos y omisiones negligentes o descuidos del demandado y su total incapacidad para proteger los datos confidenciales de los clientes. Los hackers atacaron y obtuvieron la información de identificación personal (PII) del demandante y de los miembros del colectivo debido a su valor para explotar y robar las identidades del demandante y de los miembros del colectivo. El riesgo actual y continuo para las víctimas de la filtración de datos permanecerá durante sus respectivas vidas", afirma la demanda.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Además de no informar a las víctimas, National Public Data no ha publicado ninguna declaración pública sobre la filtración. Los Angeles Times informó que la empresa respondió a las consultas por correo electrónico con "Estamos al tanto de ciertas afirmaciones de terceros sobre los datos de los consumidores y estamos investigando estos problemas". La demanda menciona la falta de notificación como una de las principales preocupaciones del demandante.
En la demanda, Hofmann aplicar acciones específicas de National Public Data, incluyendo proporcionar una compensación económica. Solicitó que National Public Data elimine toda la PII infringida. Además, quiere que la empresa encripte todos los datos en el futuro, use la segmentación de datos, escanee sus bases de datos y lance un programa de gestión de amenazas. Además, le gustaría que se realizara una evaluación anual del marco de ciberseguridad hasta 2034.
Si bien los detalles aún están evolucionando, esta filtración parece ser la mayor, o una de las mayores, filtración de datos de todos los tiempos. Debido a que la filtración de Yahoo 2013 incluyó 3 mil millones de cuentasy la filtración de National Public Data parece incluir a 2.9 mil millones de personas, Yahoo aún podría mantener el récord después de que se calme la situación a partir de esta última filtración. Los ocupantes anteriores del segundo y tercer lugar se moverán al tercero y cuarto después de que esta filtración llegue a los libros de récords. La filtración de River City Media en 2017 afectó a 1370 millones de registros, mientras que la filtración de Aadhaar en 2018 afectó a 1100 millones.
Mientras los expertos predicen la decisión en este asunto, muchos recurren a hechos pasados para comparar. En una demanda similar presentada contra Yahoo, la jueza federal Lucy Koh rechazó el acuerdo de Yahoo para el pago en 2019 a 200 millones de personas afectadas con cerca de 1000 millones de cuentas. Koh rechazó la oferta de acuerdo por las siguientes razones:
Los consumidores deben continuar monitoreando la situación actual a medida que evoluciona para saber si sus datos fueron vulnerados. Como precaución, las personas deben monitorear cuidadosamente sus informes crediticios y cuentas bancarias y no responder a información no solicitada o solicitudes de cuentas.
“Si este es prácticamente todo el expediente sobre todos nosotros, ciertamente es mucho más preocupante que las filtraciones anteriores”,dijo a Los Angeles Times Teresa Murray, directora de Consumer Watchdog del U.S. Public Information Research Group. "Y si las personas no tomaban precauciones en el pasado, lo que deberían haber hecho, esto debería ser una llamada de atención para ellos".
Para saber cómo IBM X-Force puede ayudarle con cualquier tema relacionado con la ciberseguridad, incluyendo respuesta a incidentes, inteligencia de amenazas o servicios de seguridad ofensiva, programe una reunión aquí.
Si tiene problemas de ciberseguridad o un incidente, comuníquese con X-Force para obtener ayuda: línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.