Les violations de données sont un fléau qui semble sans fin et sans réponse simple, mais la violation survenue ces derniers mois dans le service de vérification des antécédents National Public Data illustre à quel point elles sont devenues dangereuses et intraitables. Et après quatre mois d'ambiguïté, la situation commence seulement à prendre de l'ampleur, National Public Data ayant finalement reconnu l'existence de la violation lundi, au moment même où une grande partie des données volées a été divulguée publiquement en ligne.
En avril, un pirate informatique connu pour vendre des informations volées, connu sous le nom d’USDoD, a commencé à vendre sur des forums de cybercriminalité une mine de données pour 3,5 millions de dollars. Selon lui, ces données comprenaient 2,9 milliards d’enregistrements et avaient un impact sur « l’ensemble de la population des États-Unis, de la Californie et du Royaume-Uni ». Au fil des semaines, des échantillons de données ont commencé à apparaître tandis que d’autres acteurs et des chercheurs légitimes s’efforçaient de comprendre leur source et de valider les informations. Début juin, il était clair qu’au moins une partie des données était légitime et contenait des informations telles que des noms, des e-mails et des adresses physiques dans diverses combinaisons.
Les données ne sont pas toujours exactes, mais elles semblent contenir deux types d'informations. L'une comprend plus de 100 millions d'adresses e-mail légitimes ainsi que d'autres informations, et l'autre comprend les numéros de sécurité sociale mais aucune adresse e-mail.
« Il semble qu’un incident de sécurité des données ait pu concerner certaines de vos informations personnelles », a écrit lundi National Public Data. « On pense que l’incident a impliqué un tiers malveillant qui a tenté de pirater des données fin décembre 2023, avec des fuites potentielles de certaines données en avril 2024 et à l’été 2024… Les informations soupçonnées d’avoir été piratées contenaient le nom, l’adresse électronique, le numéro de téléphone, le numéro de sécurité sociale et l’adresse(s) postale(s). »
L'entreprise affirme avoir coopéré avec « les forces de l'ordre et les enquêteurs gouvernementaux ». NPD fait face à d'éventuelles poursuites collectives en lien avec cette violation.
« Nous sommes devenus insensibles aux fuites incessantes de données personnelles, mais je dirais qu’il existe un risque sérieux », déclare Jeremiah Fowler, chercheur en sécurité qui suit la situation avec National Public Data. « Le risque ne sera peut-être pas immédiat, et il faudra peut-être des années à l’un des nombreux acteurs criminels pour comprendre comment utiliser ces informations, mais le fait est qu’une tempête se prépare. »
Lorsque des informations sont volées à partir d'une seule source, comme les données des clients de Target, il est relativement simple d'établir cette source. Mais lorsque des informations sont volées à un courtier en données et que l'entreprise ne dénonce pas l'incident, il est beaucoup plus compliqué de déterminer si les informations sont légitimes et d'où elles proviennent. En général, les personnes dont les données sont compromises lors d'une violation (les véritables victimes) ne savent même pas que National Public Data détenait leurs informations en premier lieu.
Dans un article de blog publié mercredi sur le contenu et la provenance du trésor de données publiques nationales, le chercheur en sécurité Troy Hunt a écrit : « Les seules parties qui connaissent la vérité sont les acteurs anonymes de la menace qui transmettent les données et l'agrégateur de données… Il nous reste 134 millions d'adresses e-mail en circulation publique et aucune origine ou responsabilité claire. »