Una empresa con sede en Florida se enfrenta a múltiples demandas colectivas propuestas, después de una filtración masiva de datos que, según una demanda, filtró casi tres mil millones de archivos que contenían datos personales de personas en Canadá, EE. UU. y el Reino Unido, incluidos nombres y direcciones particulares.
Uno de los primeros trajes sobre los que se informó fue un propuesta de demanda colectiva presentada 1 de agosto por Christopher Hofmann, residente de California, en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Florida. Alega que un grupo de piratas informáticos llamado USDoD publicó una base de datos el 8 de abril llamada “National Public Data” en un foro de la web oscura afirmando tener datos personales de 2.900 millones de personas e intentó venderla por 3,5 millones de dólares estadounidenses.
Sitio tecnológico Bleeping Computer reportado que un pirata informático filtró una versión de los datos robados de forma gratuita en un foro de piratería el 6 de agosto.
Este mes se han presentado al menos seis denuncias contra la empresa National Public Data.
Los datos provienen de una empresa que realiza verificaciones de antecedentes.
Los datos supuestamente fueron robados de Jerico Pictures Inc., que opera como National Public Data, una empresa con sede en Florida que realiza verificaciones de antecedentes.
Hofmann dice en la demanda que la empresa obtuvo y almacenó sus datos sin su consentimiento. Debido a que las personas no brindan conscientemente sus datos a la empresa, es difícil para cualquier individuo saber si se ha visto afectado por la violación.
La demanda afirma que la empresa “todavía no ha proporcionado ningún aviso o advertencia” a Hofmann ni a otras personas afectadas por la infracción.
“De hecho, según la información y la creencia, la gran mayoría de los miembros de la clase no eran conscientes de que sus sensibles [personal information] habían sido comprometidos, y que estaban, y continúan estando, en riesgo significativo de robo de identidad y varias otras formas de daño personal, social y financiero”, dice.
Richard Rogerson, fundador de la firma de ciberseguridad Packetlabs, dice que la supuesta magnitud de la violación es “bastante aterradora” y hará que sea mucho más fácil para los estafadores realizar estafas utilizando identidades robadas.
“Nunca he visto una brecha a esta escala”, dijo Rogerson. “Éste es una especie de territorio inexplorado”.
National Public Data confirmó la violación el martes en un comunicado en su sitio web, que el viernes parecía inaccesible.
El comunicado decía que el incidente “se cree que involucró a un tercero” que intentó piratear datos a fines de diciembre de 2023, “con posibles filtraciones de ciertos datos” en abril de 2024 y el verano de 2024. La información de la que la compañía sospecha que se está violando contiene nombres, direcciones de correo electrónico, números de teléfono, números de seguro social y direcciones postales.
El sitio web de National Public Data dice que sus servicios “son utilizados actualmente por investigadores privados, sitios de registros públicos de consumidores, recursos humanos, agencias de empleo y más”. La empresa no respondió a una solicitud de comentarios.
No está claro exactamente cómo ocurrió la infracción.
Algunos estados exigen que las empresas informen sobre las violaciones de datos a sus oficinas del fiscal general, pero la empresa de seguridad McAfee dicho no ha encontrado ninguna presentación ante los fiscales generales estatales.
La oficina del Fiscal General de Florida no ha sido notificada de la infracción, dijo a CBC en un correo electrónico.
La demanda afirma que no está claro exactamente cuándo ni cómo se produjo la infracción.
“Estos datos seguirán atormentándonos durante un tiempo, porque muchos de ellos son muy estáticos y no van a cambiar con el tiempo”, afirmó Rogerson.
“Si piensas en los controles de seguridad como una cerca, baja la cerca de 10 pies a una cerca de dos pies. Puedes caminar sobre esa cerca. Hace que sea mucho más fácil lograrlo. [fraud] ataques.”
Hofmann afirma en la demanda que su servicio de protección contra el robo de identidad le alertó en julio de que su información personal había sido comprometida como resultado directo de la violación de Datos Públicos Nacionales y se encontró en la web oscura.
El bufete de abogados Schubert Jonckheer & Kolbe, que dijo el lunes que está investigando la infracción, escribió en un blog en su sitio web que los datos se remontan a al menos tres décadas.
Cliff Steinhauer, director de seguridad de la información y compromiso de la Alianza Nacional de Ciberseguridad, una organización sin fines de lucro que promueve la seguridad en línea, dice que si bien este tipo de datos se ha filtrado antes, la diferencia es que ahora está todo en un solo lugar.
“Creo que puede sorprender a muchas personas que estas empresas existan y puedan recopilar y almacenar esos datos, y peor aún, no se les exige que cumplan con ciertos criterios de seguridad para poder hacerlo”, dijo.
Steinhauer dice que los casi tres mil millones de archivos en el volcado de 277 gigabytes parecen incluir registros incompletos, duplicados y registros de personas que ahora están muertas, lo que explica cómo el número es significativamente mayor que las poblaciones de Canadá, Estados Unidos y el Reino Unido juntos.
Aún no se sabe si la empresa ha sido negligente en la protección de sus datos y en qué medida, pero Steinhauer se pregunta por qué almacenó tanta información personal durante tanto tiempo.
“Quiero decir, ¿realmente necesitan conservar toda esta información sobre las personas que murieron hace tanto tiempo?” dijo.
Steinhauer dice que las personas pueden cansarse de leer sobre la vulneración de sus datos y pueden sentirse impotentes en situaciones como esta, pero es importante saber que hay cosas que las personas pueden hacer para protegerse.
Dice que todos deberían asumir que su información ha sido comprometida y tiene varias sugerencias para proteger su dinero y su información personal.
- Mantenga actualizado el software de seguridad en sus dispositivos.
- Haga que sus contraseñas sean complejas y tengan al menos 16 caracteres.
- Utilice un administrador de contraseñas para guardar esas contraseñas y generar otras nuevas.
- Utilice un servicio de seguimiento que le avise si su información personal ha sido encontrada en la web oscura.
- Habilite la autenticación multifactor para agregar una capa de protección contra los estafadores.
- Utilice un servicio para configurar el seguimiento de sus informes crediticios, para “asegurarse de que no haya ninguna cuenta en su informe crediticio que no reconozca”.
- Esté alerta al phishing y otras estafas, que tienden a proliferar cuando surgen noticias sobre una gran violación de datos.
