Giorni fa gli Stati Uniti sono stati scossi da una delle più grandi violazioni di dati (data breach) di sempre: oltre 2,7 miliardi di dati personali finiti in rete, in particolare nomi, indirizzi e persino numeri della previdenza sociale. Di recente la società National Public Data (NPD) ha ammesso che un hacker è riuscito a penetrare nei suoi sistemi e a sottrarre una vasta quantità di dati sensibili, confermando così il furto informatico.
Un data breach da 2,7 miliardi di dati personali
Facciamo un riassunto di quello che è successo. Era l’11 agosto quando negli Stati Uniti quasi 2,7 miliardi di dati personali sono finiti dentro un popolare forum di hacking. Già allora BleepingComputer sospettava che l’archivio di dati coinvolti nel data breach provenisse dalla National Public Data, una società che raccoglie e vende i dati ai terzi in maniera legittima.
Stando però a quanto comunicato dalla società, l’intrusione nei sistemi della National Public Data è iniziata ancora prima, verso la fine del 2023. E ha visto almeno tre episodi distinti di violazione, l’ultimo dei quali si è verificato nell’estate del 2024.
Sebbene una gran parte del database sottratto sia stata pubblicata circa dieci giorni fa, alcune copie parziali erano già circolate tra diversi gruppi di hacker. Uno di questi, sotto lo pseudonimo di USDoD, aveva cercato di vendere il database per 3,5 milioni di dollari, dichiarando che il database conteneva circa 2,9 miliardi di dati.
Successivamente, un altro hacker, Fenice, ha condiviso gratuitamente sul forum di esperti “Breached” una versione che comprendeva 2,7 miliardi di dati personali. Tuttavia, la precisione di tali dati rimane dubbia. Test condotti da BleepingComputer hanno rivelato alcune discrepanze, come email associate a nomi errati o indirizzi ormai obsoleti.
Al via una class action contro la società
La NPD ha dichiarato di aver collaborato con le autorità competenti per indagare sull’accaduto e identificare le vittime della violazione. Tuttora esorta i cittadini americani a monitorare attentamente i propri conti finanziari per individuare eventuali transazioni sospette. La preoccupazione è che i dati rubati possano essere utilizzati per attività fraudolente, incluso il phishing.
Ma al momento anche la stessa società deve preoccuparsi. L’organizzazione sta infatti affrontando una class action negli Stati Uniti, intentata all’inizio di agosto da un singolo individuo che ha ricevuto una notifica dalla sua assicurazione sulla pubblicazione delle proprie generalità sul dark web. La causa sostiene che la società non è riuscita “a proteggere e salvaguardare adeguatamente le informazioni di identificazione personale raccolte e gestite come parte delle sue normali pratiche commerciali“, riferisce l’ANSA.
