Hackers attempt to sell the personal data of 3 billion people resulting from an April data breach
2024/08/04 SecurityAffairs — National Public Data と連携して活動する Jerico Pictures Inc が、2024年4月に発生したデータ流出インシデントにおいて、約 30億人の個人情報を流出させたと訴える、集団訴訟案が提出された。4月8日のことだが、USDoD と名乗る脅威アクターが、ダークウェブ・フォーラムで National Public Data のデータベースを販売すると発表した。USDoD は29億人分の個人データを販売するとし、$3,500,000 という価格を設定した。
Bloomberg law は、 「4月8日に、USDoD という名のサイバー犯罪グループが、ダークウェブ・フォーラムに “National Public Data” というタイトルのデータベースを投稿し、29億人分の個人情報を保持していると主張した。 8月1日 (木) に、フロリダ州南部地区連邦地方裁判所に提出された訴状によると、このグループはデータベースを $3,500,000 で売りに出したという」と報じている。
専門家たちが指摘するのは、今回のデータ漏洩が、過去最大級になる可能性である。
National Public Data は、非公開の情報源から個人を特定する情報をかき集め、何十億もの個人に関するデータを収集している。原告たちは、自身の個人情報を、意図的に被告に提供したわけではない。
8月1日 (木) 付けで、フロリダ州南部地区連邦地方裁判所に提出された訴状には、「この集団訴訟は、情報と確信に基づき、2024年4月頃に発生した、データ侵害から生じたものだ。身元調査会社である被告 National Public Data は顧客に対して、何十億もの記録を即座に検索できるサービスを提供していた。原告は被告に対して、通常の業務の一環として収集および保持してきた、個人を特定できる情報を適切に保護および保全しなかったとして、この訴状を提出する。情報と確信に基づき、このような機密情報には、原告および集団訴訟メンバーの、氏名/住所/社会保障番号に加えて、両親/兄弟/親族などに関する情報 (20年近く前に亡くなっている人も含む) 、および、その他の個人情報 (PII) が含まれるが、それらに限定するものではない」と記されている。
VX-underground の研究者たちは、「アーカイブ (非圧縮で 277.1GB) をレビューし、そのデータが本物であり、また、正確であることを確認した。データ・オプトアウト・サービスを利用した個人の情報が、このデータベースには含まれていないことに気づいた。ただし、オプトアウト。サービスを利用せずに、米国に居住している人は即座に発見できた。なお、このアーカイブには、死亡した個人のデータも含まれている」と指摘している。
National Public Data と Jerico Pictures Inc の関係が、よく分かりませんが、なんとなく、どちらも怪しげな存在です。文中では、最大級のデータ流出になるかも知れないと指摘されていますが、こんなかたちで情報を収集すること自体が問題です。なお、情報を盗み出したと主張する USDoD ですが、2024/07/25 の「CrowdStrike への侵入に成功した:ハクティビスト集団 USDoD の主張の信憑性は?」にも登場していました。
IoT OT Security News 
You must be logged in to post a comment.