National Public Data (NPD) най- после потвърди, че е станала жертва на нарушение на сигурността на данните, но според компанията инцидентът засяга само 1,3 милиона души в САЩ.

Компанията National Public Data (NPD) потвърди, че е претърпяла нарушение на сигурността на данните след съобщенията за компрометиране на 2,9 милиарда записа с лична информация, но според компанията инцидентът засяга само 1,3 милиона души в САЩ.

Миналата седмица фирмата публикува информация за изтичането на данни. Информацията е неясна и има известни затруднения при достъпа до URL адреса. Въпреки това тя се потвърждава:

„Изглежда, че е имало инцидент със сигурността на данните, който може да е засегнал част от вашата лична информация… Информацията, за която се предполага, че е нарушена, съдържа име, имейл адрес, телефонен номер, номер на социална осигуровка и пощенски адрес(и).“

Повече подробности можете да намерите в уведомлението за нарушение, публикувано от главния прокурор на Мейн. Нарушението е извършено на 30 декември 2023 г. То е открито от NPD на същата дата. Общият брой на засегнатите лица е 1,3 милиона, от които 2760 са жители на Мейн.

Според NPD: „Смята се, че инцидентът е свързан с групировка, която се е опитала да проникне в данните в края на декември 2023 г., с потенциално изтичане на определени данни през април 2024 г. и лятото на 2024 г.“

Априлските и летните дати съвпадат с обявяването от HackManac на наличността на база данни с обем 4 TB, съдържаща 2,9 млрд. реда, очевидно ексфилтрирани от National Public Data, за продажба за 3,5 млн. долара; като по-късно Fenice предоставя връзки към данните. Намекът на тези двамата в X (бивш Twitter) е, че изтичането на информация е било много по-голямо от обявеното от NPD.

Продължават да съществуват несъответствия между историите от „подземния свят“ и съобщението на NPD. Например NPD не споменава (поне досега) за засегнати жертви от Обединеното кралство или Канада. Въпреки това вече имаме потвърждение, че е имало нарушение и че са били откраднати лични данни на САЩ.

Тези несъответствия бяха забелязани от Трой Хънт, който предприе собствено разследване на изтеклите данни. Той заключи: „Оставаме със 134 млн. имейл адреса в публично обращение и без ясен произход или отговорност. Дни наред седях и се чудих  какво да правя с тези данни, като не бях сигурен дали да ги зареждам [т.е. да добавям адресите към своята база данни с откраднати имейл адреси]… В крайна сметка реших, че те заслужават място в HIBP като непроверено нарушение.“

И накрая, като се връщаме към разкриването на NPD за едва 1,3 милиона жертви, си струва да се отбележи, че първоначално разкритите обеми обикновено се увеличават с течение на времето. Например първоначалното оповестяване през април 2024 г. на нарушението на сигурността на данните на FBCS обяви, че са били засегнати 1,9 милиона души, но към май 2024 г. то нарасна до 3,2 милиона. Понастоящем броят им на сайта на AGO на щата Мейн е 4,25 милиона.

Пълната история зад нарушението на NPD, независимо дали става въпрос за самото нарушение или за инфлацията или дефлацията на подробностите, понастоящем остава важна, но неясна.