Nowo odkryta, a następnie usunięta baza danych zawierała około 2,7 miliarda numerów ubezpieczenia społecznego wraz z około 3 miliardami adresów e-mail i haseł. Badacze zajmujący się cyberbezpieczeństwem w UpGuard odkryli w styczniu skompromitowane dane, które były hostowane przez niemieckiego dostawcę usług w chmurze Hetzner. Skala naruszenia stwarza poważne ryzyko kradzieży tożsamości potencjalnie milionów Amerykanów, mimo że wiele danych może być zduplikowanych lub nieaktualnych.
Zakres wycieku
Baza danych nie była powiązana z żadnym niedawnym włamaniem. Zamiast tego wydaje się, że jest to kompilacja danych zebranych z wielu wcześniejszych wycieków, w tym prawdopodobnie z incydentu, który miał miejsce w 2024 r. w firmie National Public Data zajmującej się sprawdzaniem przeszłości. Brokerzy danych i przestępcy rutynowo łączą takie zestawy danych, ale sama ich ilość sprawia, że ten przypadek jest szczególnie niepokojący. Dane, które zostały skompromitowane, pochodzą z około 2015 r., ale skradzione dane pozostają cenne przez lata ze względu na ponowne wykorzystanie haseł i niezmienny charakter numerów ubezpieczenia społecznego.
Dlaczego to jest ważne?
Kluczową kwestią jest utrzymywanie się zagrożonych numerów ubezpieczenia społecznego. W przeciwieństwie do haseł, które można zmienić, ważny numer ubezpieczenia społecznego pozostaje dożywotnim zasobem dla złodziei tożsamości. Analiza przeprowadzona przez firmę UpGuard na próbie 2,8 miliona rekordów pokazuje, że około jeden na cztery numery ubezpieczenia społecznego jest prawdziwy. Ekstrapolując te dane na cały zbiór, można oszacować, że naruszonych zostało ponad 675 milionów potencjalnie ważnych liczb.
Prawdziwe niebezpieczeństwo polega na tym, że wiele ofiar nie jest świadomych, że ich dane zostały naruszone. Wyciek może prowadzić do oszustw finansowych, złej oceny zdolności kredytowej i innych form kradzieży tożsamości.
Jak usunięto wyciek
UpGuard skontaktował się z Hetznerem po potwierdzeniu naruszenia danych. Dostawca usług w chmurze usunął bazę danych 21 stycznia po otrzymaniu powiadomienia. Tożsamość właściciela bazy danych pozostaje nieznana.
Ryzyko długoterminowe
To, że wiele zagrożonych osób nie doświadczyło jeszcze kradzieży tożsamości, nie oznacza, że są bezpieczne. Cyberprzestępcy często gromadzą skradzione dane do późniejszego wykorzystania, testując poświadczenia w miarę upływu czasu. Wyciek numerów ubezpieczenia społecznego gwarantuje, że miliony ludzi pozostaną narażone na długotrwałe oszustwa.
Incydent ten uwydatnia ciągłe zagrożenie naruszeniami bezpieczeństwa danych na dużą skalę oraz potrzebę poprawy praktyk bezpieczeństwa wśród brokerów danych i dostawców usług w chmurze. Osoby fizyczne powinny zachować czujność pod kątem możliwych oszustw i monitorować swoją historię kredytową pod kątem podejrzanych działań.
