Нещодавно виявлена і згодом віддалена база даних містила приблизно 2,7 мільярда номерів соціального страхування поряд з приблизно 3 мільярдами адрес електронної пошти та паролів. Дослідники з кібербезпеки з UpGuard виявили скомпрометовані дані в січні, які розміщувалися німецьким хмарним провайдером Hetzner. Масштаб витоку є серйозним ризиком крадіжки особистих даних для потенційно мільйонів американців, навіть якщо багато записів можуть бути дублікатами або застарілими.
Масштаб витоку
База даних була пов’язана з єдиним, недавнім зломом. Натомість, вона, мабуть, є компіляцією даних, зібраних з безлічі минулих витоків, включаючи, можливо, інцидент 2024 року у фірмі з перевірки біографічних даних National Public Data. Дата-брокери та злочинці регулярно об’єднують такі набори даних, але величезний обсяг робить цей випадок особливо тривожним. Скомпрометовані записи датуються приблизно 2015 роком, але вкрадені дані залишаються цінними протягом багатьох років через повторне використання паролів та незмінну природу номерів соціального страхування.
Чому це важливо
Стійкість скомпрометованих номерів соціального страхування є ключовою проблемою. На відміну від паролів, які можна змінити, номер соціального страхування, що діє, залишається довічним активом для злодіїв особистих даних. Аналіз UpGuard зразка з 2,8 мільйонів записів показує, що приблизно один із чотирьох номерів соціального страхування є справжнім. Екстраполюючи ці дані на весь набір, можна припустити, що понад 675 мільйонів потенційно дійсних номерів було скомпрометовано.
Реальна небезпека полягає в тому, що багато жертв не знають, що їхні дані були скомпрометовані. Витік може призвести до фінансового шахрайства, погіршення кредитної історії та інших форм крадіжки особистих даних.
Як був оброблений витік
UpGuard зв’язався з Hetzner після підтвердження витоку даних. Хмарний провайдер видалив базу даних 21 січня після повідомлення. Особа власника бази даних залишається невідомою.
Довгостроковий ризик
Той факт, що багато скомпрометованих людей ще не зіткнулися з крадіжкою особистих даних, не означає, що вони в безпеці. Кіберзлочинці часто накопичують вкрадені дані для подальшого використання, тестуючи облікові дані з часом. Витік номерів соціального страхування гарантує, що мільйони людей залишаться вразливими для довгострокового шахрайства.
Цей інцидент підкреслює загрозу масштабних витоків даних, що продовжується, і необхідність поліпшення практик безпеки серед дата-брокерів і хмарних провайдерів. Особам слід залишатися пильними щодо можливого шахрайства та стежити за своєю кредитною історією на предмет підозрілої активності.
