I april i år började data som uppgavs innehålla 2.9 miljarder olika dataposter och som påstods vara uppgifter om i stort sett hela USAs och Kanadas befolkning saluföras via olika forum på The Dark Web – en hemvist bland annat för kriminella. Annonseringen fick liten uppmärksamhet trots att även hela Storbritanniens befolkning också skulle vara berörda.
Priset, enligt säljaren signaturen USDoD, var minst 3.5 miljoner dollar. Allt eftersom veckorna gick så började prover av informationen att dyka dyka upp när andra, bland annat intresserade köpare, och legitima forskare ville se vad det var som bjöds ut.
Massive #DataBreach Alert ⚠️
2.9 billion records of USA, Canada, and UK citizens allegedly for sale for $3.5 million.
The threat actor USDoD claims to be selling a 4 TB database containing 2.9 billion rows apparently exfiltrated from National Public Data, a public records data… pic.twitter.com/kgSd3RpoP2
— HackManac (@H4ckManac) April 8, 2024
I början av juni i år stod det klart att åtminstone en del av uppgifterna var legitima och innehöll information som namn, e-postadresser och fysiska adresser i olika kombinationer.
Nu är det i sig inget ovanligt. Det förekommer att någon sätter sig ned och samlar in en massa data som stulits i samband med attacker och intrång, sammanställer allt i en ny databas och sedan bjuder ut allt som om det är ny information. Gammal data i ny förpackning.
Bekräftelse
I början av augusti kom så en bekräftelse på vad som kan vara ett av världens största intrång, sett till mängden enskilda som kan vara berörda. Nästan 2,7 miljarder poster (rader) med personlig information för personer i USA läckte då ut på ett hackingforum, och avslöjade namn, personnummer, alla kända fysiska adresser och möjliga alias.
“Det verkar ha inträffat en datasäkerhetsincident som kan ha involverat en del av din personliga information. Incidenten tros ha involverat en dålig aktör från tredje part som försökte hacka sig in i data i slutet av december 2023, med potentiella läckor av viss data i april 2024 och sommaren 2024 … Informationen som misstänktes ha brutits innehöll namn, e-postadress, telefonnummer, personnummer och postadress(er).”
National Public Data (all trafik utanför USA blockeras)
Skrapa
Uppgifterna kom från National Public Data, ett företag som samlar in och säljer tillgång till personuppgifter för användning vid bakgrundskontroller, för att få ut kriminalregister för arbetsgivare, exempelvis. National Public Data, NPD, tros skrapa denna information från offentliga källor för att sammanställa individuella användarprofiler för personer i USA och andra länder.
Alla data, hela den stulna databasen lades ut offentligt i ett rum för kriminella den 6 augusti i år och då kunde konstateras att det inte bara var gamla uppgifter.
För tydlighetens skull ska tilläggas att mängden poster, rader, inte är detsamma som antalet berörda individer. Det är alltså inte 2.9 eller 2.7 miljarder individer som är berörda utan det handlar om antalet poster och rader i den aktuella databasen.
Förvärrades
Kort efter det att uppgifterna om intrånget blivit kända så förvärrades exponeringen då det framkom NPD hanterade den interna säkerheten på ett minst sagt anmärkningsvärt sätt. Ett dottersajt till NPD, recordscheck.net, visade sig lagra kontouppgifter med krypterade lösenord.
Det exponerade arkivet, som fick namnet “members.zip”, indikerar att RecordsCheck-användare från början tilldelades samma sexteckenslösenord och instruerades att ändra det, men många gjorde det inte.
NPD uppger i ett svar till Krebs on Security att filen innehöll gamla uppgifter som inte används längre. Filen har nu plockats bort.
Känslig information
Av det som framkommit hittills så handlar det om minst 137 miljoner unika e-postadresser, ett mycket stort antal av det som kallas “sociala security numbers” motsvarande våra svenska personnummer, information om tidigare och nuvarande bostadsadresser, brottsregister och annan personlig, känslig information. De första analyserna visar också att all information inte enkelt går att sammanställa och knytas till en och samma individ. Den stora mängden e-postadresser exempelvis är inte helt och fullt ut kopplad till mängden personnummer, för att ta ett exempel.
Den stora säkerhetsrisken ligger i att när kriminella lyckas att koppla samman alla uppgifter, all den information som nu offentliggjorts, då kan en mycket stor mängd individer exponeras för utpressning, attacker och bedrägerier. Just nu så handlar det om enorm mängd data och uppgifter som bara delvis kan kopplas samman – som stulits av en datamäklare som dammsugit nätet i taket på personuppgifter – som sedan sålts. Det är ett skrämmande exempel på att även offentliga uppgifter, om de samlas in och sammanställs kan utgöra en betydande säkerhetsrisk.
Källor
- Wired
- Krebs on Security
- New York Times (betalvägg)
- USA Today
0 kommentarer