某黑客论坛上,近27亿条涉及美国人的个人信息记录被泄露,其包括姓名、社会保障号码、所有已知的公民地址,以及可能有所关联的别名。
据称,这些数据来源于美国国家公共数据公司(National Public Data),该公司收集并出售个人数据访问权限,用于背景调查、获取犯罪记录以及为私人调查人员提供服务。据信,美国国家公共数据公司从公共来源收集这些信息,以汇编美国和其他国家个人的用户资料。
今年4月,名为“USDoD”的威胁行动者声称其正在出售29亿条记录,这些记录包含了从美国国家公共数据公司窃取的美国、英国和加拿大人的个人信息。当时,该威胁行动者试图以350万美元的价格出售这些数据,并声称这些数据包含了这三个国家每位公民的记录。
“USDoD”是一个已知的威胁行动者,之前曾于2023年12月试图以5万美元出售InfraGard用户数据库。当时,BleepingComputer曾联系美国国家公共数据公司,但并未收到任何回复。
免费泄露的被盗数据
自那时起,不同的威胁行动者已经公开了数据的多个片段,每次泄露涉及的记录数量各不相同,有时甚至包含不同的数据内容。
而在8月6日这一天,一位在黑客界以“Fenice”之名闻名的威胁行动者,于Breached黑客论坛上无偿发布了迄今为止最为完整的被盗国家公共数据版本。然而,Fenice却声称,这次数据泄露事件的始作俑者并非USDoD,而是另一位名为“SXUL”的威胁行动者。
本次数据泄露涉及两个总计277GB大小的文本文件,其中包含近27亿条未加密的明文记录,这比USDoD最初宣称的29亿条记录要少。
尽管BleepingComputer无法断言这些泄露的数据是否涵盖了美国每一位公民的信息,但已有许多人在向BleepingComputer确认,他们的个人信息以及家庭成员的合法信息(包括已故亲属)均被包含在内。
这些记录详细列出了个人的姓名、邮寄地址和社会保障号码,部分记录还额外包含了与该人相关的其他名称。
值得注意的是,与之前泄露的数据样本不同,这次泄露并未包含电话号码和电子邮件地址。同时,由于个人可能因多个居住地址而拥有多条记录,因此这次数据泄露并未像其他文章报导的那样,会影响到30亿人。
此外,BleepingComputer还了解到,有人的社会保障号码被错误地关联到了他人身上,这表明泄露的数据并非完全准确。
最后,鉴于泄露的数据中并未包含BleepingComputer检查人员的地址,这可能意味着这些数据来自一个旧的备份,因此可能已经过时。
这一数据泄露事件已引发了多起针对Jerico Pictures的集体诉讼,原因是该公司未能妥善保护用户数据。
