Uma afirmação viral, mas infundada, de que quase todos os americanos tiveram seu número de segurança social (SSN) vazado em massa violação de dados se espalhou como um incêndio esta semana, decorrente do suposto hack de uma empresa de verificação de antecedentes chamada National Public Data. Embora as pessoas devam, compreensivelmente, estar preocupadas com o roubo de identidade, a extensão do perigo pode não ser tão grave como parece, dizem os especialistas.
A informação vazada foi originalmente colocada à venda por US$ 3,5 milhões na dark web em abril. Foi postado por um ator de ameaça chamado “USDoD”, que alegou ter informações pessoais de “toda a população” dos EUA, Canadá e Reino Unido
O tesouro supostamente possui 2,9 bilhões de linhas de dados, incluindo nomes completos, endereços residenciais, números de telefone e SSNs – embora isso não signifique necessariamente que contenha informações de 2,9 bilhões de pessoas. Além disso, os canadenses não têm SSN; nosso equivalente seriam os números do seguro social. As pessoas no Reino Unido têm números de seguro nacional.
Na época, as notícias sobre a violação de dados só foram divulgadas por meios de comunicação sobre a dark web e a segurança cibernética. Tudo mudou quando um homem da Califórnia entrou com uma ação coletiva contra dados públicos nacionais em 1º de agosto e um ator de ameaça conhecido como “Fenice” postou o todo o banco de dados roubado on-line gratuitamente em 6 de agosto.
Na terça-feira, Dados Públicos Nacionais reconheceu a violação e disse que “potenciais vazamentos de certos dados” ocorreram em abril de 2024 e no verão de 2024. A empresa afirma que está cooperando com autoridades policiais e investigadores governamentais. National Public Data é um agregador de dados que compila informações pessoais para verificação de antecedentes e serviços de marketing.
Com os alegados dados roubados agora disponíveis gratuitamente, cada vez mais especialistas em segurança cibernética analisam-nos e levantam questões sobre a sua legitimidade. Embora algumas das informações contidas no tesouro pareçam corretas, também parece haver muitos dados duplicados, incompletos e incorretos. Alguns especialistas questionam-se se os dados incluem alguma informação pessoal nova, sugerindo que poderiam ter sido compilados a partir de fontes disponíveis publicamente ou de violações de dados anteriores.
James E. Lee, diretor de operações do Identity Theft Resource Center, disse ao Global News que não acredita que nenhum dos dados seja novo porque o próprio National Public Data coleta informações publicamente disponíveis da Internet e não coleta dados diretamente de pessoas. Por causa disso, muitas informações podem ser antigas ou imprecisas, acrescentou.
Quando questionado se as pessoas deveriam se preocupar com a fraude de identidade por causa do hack, Lee disse: “A realidade é que o nível de risco não aumentou por causa disso. O nível de risco foi alto para começar.”
Notícias de última hora do Canadá e de todo o mundo
enviado para o seu e-mail, na hora.
Receba as últimas notícias nacionais
Para notícias que impactam o Canadá e o mundo todo, inscreva-se para receber alertas de últimas notícias entregues diretamente a você quando elas acontecerem.
O especialista em segurança cibernética Troy Hunt colocou as mãos nos supostos dados roubados e descobriu que continham informações imprecisas e dados duplicados. Em um caso, uma única pessoa tinha seis linhas de dados dedicadas a ela (mesmo nome, mesmo SSN, mas endereços diferentes). Hunt pegou uma amostra de 100 milhões de linhas e descobriu que apenas 31% das linhas tinham SSNs exclusivos.
“(S) extrapolando isso, 2,9B seria mais parecido com 899M”, ele escreveu em uma postagem no blog. Hunt é diretor regional da Microsoft, mas é mais conhecido por operar o site “Have I Been Pwned”, que permite às pessoas verificar se suas informações pessoais foram comprometidas em violações de dados.
Hunt consultou os arquivos e descobriu que suas informações pessoais eram imprecisas. Ele encontrou um de seus endereços de e-mail 28 vezes nos arquivos, mas eles apareceram ao lado de nomes e datas de nascimento que não eram seus.
Embora alguns dados possam ser duvidosos, outros meios de comunicação relataram que o vazamento contém informações reais. Várias pessoas confirmaram BipandoComputador que suas informações pessoais legítimas e as informações de familiares, alguns dos quais já falecidos, estavam contidas nos arquivos. Organização educacional sobre malware vx-underground relatou o mesmo.
Embora algumas informações pareçam corretas, o fato de o tesouro também conter informações imprecisas tornará mais difícil para os agentes de ameaças e golpistas usá-lo para fins nefastos.
Lee diz que deveríamos usar a notícia do hack dos Dados Públicos Nacionais como um “momento de ensino”.
“Sabemos que informações altamente confidenciais já foram violadas antes e estão prontamente disponíveis”, disse ele. “Agora vamos falar sobre o que você realmente deveria fazer para se proteger.”
Lee exorta todos os preocupados com seus dados pessoais ou roubo de identidade a congelarem seu crédito. As duas principais agências de crédito para canadenses são Equifax e TransUnionde acordo com a Agência do Consumidor Financeiro do Canadá. A agência recomenda que os canadenses verifiquem seus relatórios de crédito pelo menos uma vez por ano em busca de roubo de identidade.
Lee também incentiva os canadenses a não usarem a mesma senha para todas as contas online, já que uma senha reciclada pode ser a “chave do seu reino” se vazar. Existem gerenciadores de senhas na maioria dos navegadores e podem sugerir senhas fortes para os usuários e armazená-las de forma criptografada.
Especialistas que conversou anteriormente com Global News dizem que as pessoas devem estar atentas a golpistas sempre que ocorrerem grandes violações de dados.
“Eles enviarão mensagens de spam oferecendo às pessoas monitoramento de crédito gratuito – ‘Inscreva-se aqui, clique no link’”, disse o especialista em segurança cibernética Brett Callow em junho. “Eles podem dizer às pessoas que têm direito a uma compensação… ‘Clique aqui para inserir suas informações bancárias para um depósito automático.’
“(As pessoas) deveriam estar atentas a esse tipo de coisa. Qualquer texto ou e-mail que eles recebam. Não clique nos links. Em vez disso, acesse o site real da organização.”
David Bradbury, diretor de segurança da Okta, uma grande empresa especializada em logins seguros e autenticação online, alertou os canadenses para serem “hipervigilantes neste mundo em que vivemos”.
“À medida que vemos esta proliferação de dados pessoais que está a surgir na Internet, isso torna-nos todos alvos maiores de ataques de phishing”, diz Bradbury.
Hackers e golpistas podem “acessar de forma rápida e fácil listas de informações sobre você e podem criar e-mails atraentes e interessantes que são personalizados para você como um indivíduo específico”, observa ele. E com o advento das ferramentas de inteligência artificial, a capacidade dos agentes maliciosos de criarem comunicações “muito bem redigidas e muito relevantes” só aumenta.
Esses golpistas podem usar seus dados pessoais vazados, como seu endereço residencial ou número de telefone, para construir confiança e parecer legítimos, “e ao construir essa confiança, eles podem tentar convencê-lo a realizar ações que você normalmente não executaria”. Bradbury diz.
“Precisamos estar conscientes de que vivemos num mundo onde os hackers podem aceder livremente às nossas informações através, infelizmente, do número de violações de dados que ocorreram”, observa ele. “Este é um novo mundo em que operamos, onde nossas informações pessoais não são mais secretas e protegidas. E nesse mundo, precisamos estar muito conscientes de que as pessoas podem tentar entrar em contato conosco e realizar ações prejudiciais.”