A National Public Data (NPD), uma empresa de verificação de antecedentes, admitiu que expôs informações sensíveis como números de telefone, endereços e números de Seguro Social para hackers.
Embora a empresa não tenha compartilhado o tamanho exato do vazamento, supostamente envolve 2.7 bilhões de registros, possivelmente incluindo dados sobre quase todos os americanos.
E fica ainda pior.
Um novo relatório revelou que outro corretor de dados da NPD, que compartilha acesso aos mesmos registros de consumidores, publicou senhas de usuário para seu banco de dados back-end.
KrebsOnSecurity relatou que uma propriedade irmã da NPD, chamada recordscheck.net, estava hospedando um arquivo que incluía os nomes de usuário e senhas do administrador do site.
Uma revisão do arquivo agora removido revela que continha o código-fonte, junto com nomes de usuário e senhas em texto claro, para vários componentes do recordscheck.net.
Este site tem uma semelhança impressionante com nationalpublicdata.com, com páginas de login correspondentes.
O arquivo exposto, intitulado "members.zip", sugere que todos os usuários do RecordsCheck inicialmente receberam a mesma senha de seis caracteres e foram aconselhados a alterá-la, embora muitos não tenham feito isso.
De acordo com KrebsOnSecurity, que se referenciou ao serviço de rastreamento de violações Constella Intelligence, as senhas encontradas no arquivo de código-fonte correspondem àquelas expostas em violações de dados anteriores.
Isso sugere que milhões de usuários também podem ser afetados neste caso.
Entramos em contato com RecordsCheck para um comentário, mas não recebemos resposta antes do nosso prazo.
Salvatore "Sal" Verini, fundador da NPD e ex-delegado aposentado da Flórida, disse a KrebsOnSecurity que o arquivo exposto, um arquivo .zip contendo credenciais do recordscheck.net, foi removido do site da empresa.
Verini também mencionou que o site está programado para ser desligado "na próxima semana ou algo assim".
"Quanto ao arquivo zip, foi removido, mas era uma versão antiga do site com código e senhas que não funcionam mais," disse Verini.
Ele recusou-se a oferecer informações adicionais, afirmando que o problema está sob investigação ativa e ele não pode comentar mais a fundo.
A notícia do vazamento de dados da NPD veio à tona após um homem da Califórnia processar a empresa, como relatado pela Bloomberg.
Ele descobriu o vazamento por meio de seu serviço de proteção contra roubo de identidade, que sinalizou seus dados no banco de dados vazado.
Desde então, muitas pessoas online relataram receber alertas semelhantes de seus serviços de proteção, permitindo-lhes agir antes que fosse tarde demais.
Em 2024, um serviço de proteção contra roubo de identidade é praticamente indispensável.
Se você tem acompanhado os artigos do CyberGuy, provavelmente viu relatórios frequentes sobre violações de dados, seja o vazamento na AT&T, na Dell ou o vazamento na Advance Auto Parts.
Um dos melhores aspectos de usar proteção contra roubo de identidade é que eles podem incluir seguro contra roubo de identidade de até US$ 1 milhão para cobrir perdas e honorários advocatícios e uma equipe de resolução de fraudes "white-glove" onde um gerente de caso baseado nos EUA ajuda você a recuperar quaisquer perdas.
Veja minhas dicas e melhores escolhas sobre como se proteger contra roubo de identidade.
A proteção contra roubo de identidade é a primeira coisa que eu recomendo a todos, mas também há passos que você pode tomar para se proteger.
1.Cuidado com senhas: O vazamento do recordscheck.net expôs senhas, e como discuti, muitos usuários não mudaram as senhas auto-atribuídas.
Isso é um grande erro.
Sempre crie senhas fortes para suas contas e dispositivos e evite usar a mesma senha para várias contas online.
Considere usar um gerenciador de senhas para armazenar e gerar senhas complexas de forma segura.
Isso ajudará você a criar senhas únicas e difíceis de decifrar que um hacker jamais poderia adivinhar.
Além disso, também mantém todas as suas senhas em um só lugar e preenche as senhas para você quando você está fazendo login em uma conta, para que você nunca tenha que memorizá-las.
2.Remova suas informações pessoais da Internet: Embora nenhum serviço possa apagar completamente seus dados da Internet, usar um serviço de remoção de dados é uma jogada inteligente, especialmente à luz dos recentes vazamentos de dados como o incidente da NPD.
Esses serviços não são baratos, mas sua privacidade também não.
Eles lidam com o trabalho pesado monitorando continuamente e removendo sistematicamente suas informações pessoais de inúmeros sites.
Isso dá tranquilidade e é uma das maneiras mais eficazes de proteger seus dados online.
3.Fique atento às comunicações de caixa de correio: Malfeitores também podem tentar enganá-lo por meio de correio convencional.
O vazamento de dados dá a eles acesso ao seu endereço.
Eles podem se passar por pessoas ou marcas que você conhece e usar temas que exigem atenção urgente, como entregas perdidas, suspensões de conta e alertas de segurança.
4.Verifique regularmente seus relatórios de crédito: Obtenha uma cópia gratuita do seu relatório de crédito de cada uma das três agências de crédito mencionadas anteriormente.
Revise os relatórios cuidadosamente para qualquer atividade suspeita ou não autorizada.
Se você encontrar alguma imprecisão ou sinais de fraude, relate-os imediatamente à agência de crédito.
O vazamento de dados da NPD e o incidente de segurança envolvendo o site irmão destacam a irresponsabilidade dessas empresas ao manusear informações públicas sensíveis.
Há uma necessidade urgente de que os governos intervenham e imponham consequências legais sérias, não apenas uma advertência leve.
Multas devem ser envolvidas.
Qualquer um que lidar com dados sensíveis deve garantir que os dados estejam criptografados e tomar medidas para evitar que caiam nas mãos erradas.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...