Una empresa con sede en Florida enfrenta múltiples demandas colectivas propuestas, luego de una filtración masiva de datos que, según una demanda, filtró casi tres mil millones de archivos que contenían datos personales de personas en Canadá, Estados Unidos y el Reino Unido, incluidos nombres y direcciones particulares.
Una de las primeras demandas de las que se informó fue una Se presentó una propuesta de demanda colectiva El 1 de agosto, el residente de California Christopher Hofmann presentó una denuncia en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Florida. En ella se alega que un grupo de piratas informáticos llamado USDoD publicó una base de datos el 8 de abril llamada “Datos públicos nacionales” en un foro de la web oscura en la que afirmaba tener los datos personales de 2.900 millones de personas e intentó venderla por 3,5 millones de dólares estadounidenses.
Sitio de tecnología Bleeping Computer reportado que un hacker luego filtró una versión de los datos robados de forma gratuita en un foro de piratería el 6 de agosto.
Al menos seis quejas se han presentado contra la empresa National Public Data este mes.
Los datos provienen de una empresa que realiza verificaciones de antecedentes.
Los datos fueron supuestamente robados de Jerico Pictures Inc., que opera como National Public Data, una empresa con sede en Florida que realiza verificaciones de antecedentes.
Hofmann afirma en la demanda que la empresa obtuvo y almacenó sus datos sin su consentimiento. Como las personas no dan sus datos a la empresa de forma consciente, es difícil que cualquier persona sepa si se ha visto afectada por la filtración.
La demanda afirma que la empresa “aún no ha proporcionado ningún aviso o advertencia” a Hofmann ni a otras personas afectadas por la violación.
“De hecho, según la información y la creencia, la gran mayoría de los miembros de la clase no sabían que su información sensible [personal information] habían sido comprometidos y que estaban, y siguen estando, en riesgo significativo de robo de identidad y varias otras formas de daño personal, social y financiero”, dice.
Richard Rogerson, fundador de la empresa de ciberseguridad Packetlabs, dice que la supuesta magnitud de la violación es “bastante aterradora” y hará que sea mucho más fácil para los estafadores realizar estafas utilizando identidades robadas.
“Nunca había visto una brecha de esta magnitud”, afirmó Rogerson. “Es un territorio desconocido”.
National Public Data confirmó la violación el martes en un comunicado en su sitio web, que el viernes parecía inaccesible.
El comunicado señala que se cree que el incidente “involucró a un tercero malintencionado” que intentó piratear datos a fines de diciembre de 2023, “con posibles filtraciones de ciertos datos” en abril de 2024 y el verano de 2024. La información que la empresa sospecha que ha sido vulnerada contiene nombres, direcciones de correo electrónico, números de teléfono, números de seguridad social y direcciones postales.
El sitio web de National Public Data dice que sus servicios “son utilizados actualmente por investigadores privados, sitios de registros públicos de consumidores, recursos humanos, agencias de empleo y más”. La empresa no respondió a una solicitud de comentarios.
No está claro exactamente cómo ocurrió la violación.
Algunos estados requieren que las empresas informen sobre las violaciones de datos a sus oficinas del fiscal general, pero la empresa de seguridad McAfee dicho No se ha encontrado ninguna presentación ante los fiscales generales estatales.
La oficina del Fiscal General de Florida no ha sido notificada de la violación, dijo a CBC en un correo electrónico.
La demanda afirma que no está claro exactamente cuándo ni cómo ocurrió la violación.
“Estos datos seguirán atormentándonos por un tiempo, porque muchos de ellos son muy estáticos y no van a cambiar con el tiempo”, dijo Rogerson.
“Si piensas en los controles de seguridad como si fueran una valla, la valla baja de una valla de 10 pies a una de 2 pies. Puedes caminar sobre esa valla. Es mucho más fácil de llevar a cabo”. [fraud] ataques.”
Hofmann afirma en la demanda que su servicio de protección contra el robo de identidad le alertó en julio de que su información personal había sido comprometida como resultado directo de la violación de Datos Públicos Nacionales y fue encontrada en la red oscura.
El bufete de abogados Schubert Jonckheer & Kolbe, que dijo el lunes que está investigando la violación, escribió: En un blog en su sitio web que los datos se remontan al menos a tres décadas.
Cliff Steinhauer, director de seguridad de la información y participación en la National Cybersecurity Alliance, una organización sin fines de lucro que promueve la seguridad en línea, dice que si bien este tipo de datos se han filtrado antes, la diferencia es que ahora están todos en un solo lugar.
“Creo que puede sorprender a mucha gente que estas empresas existan y se les permita recopilar y almacenar esos datos, y peor aún, que no se les exija cumplir ciertos criterios de seguridad para hacerlo”, dijo.
Steinhauer dice que los casi tres mil millones de archivos en el volcado de 277 gigabytes parecen incluir registros incompletos, duplicados y registros de personas que ahora están muertas, lo que explica cómo el número es significativamente mayor que las poblaciones de Canadá, Estados Unidos y el Reino Unido juntas.
Todavía no se sabe si la empresa pudo haber sido negligente a la hora de proteger sus datos, pero Steinhauer se pregunta por qué almacenó tanta información personal durante tanto tiempo.
“Quiero decir, ¿realmente necesitan conservar todos estos datos sobre personas que murieron hace tanto tiempo?”, preguntó.
Steinhauer dice que las personas pueden cansarse de leer sobre violaciones de sus datos y pueden sentirse impotentes en situaciones como esta, pero es importante saber que hay cosas que las personas pueden hacer para protegerse.
Dice que todos deberían asumir que su información ha sido comprometida y tiene varias sugerencias para proteger su dinero y su información personal.
- Mantenga actualizado el software de seguridad en sus dispositivos.
- Haga que sus contraseñas sean complejas y de al menos 16 caracteres.
- Utilice un administrador de contraseñas para guardar esas contraseñas y generar otras nuevas.
- Utilice un servicio de monitoreo que le avisará si su información personal ha sido encontrada en la web oscura.
- Habilite la autenticación multifactor para agregar una capa de protección contra los estafadores.
- Utilice un servicio para configurar el monitoreo de sus informes de crédito, para “asegurarse de que no haya ninguna cuenta en su informe de crédito que no reconozca”.
- Esté alerta ante el phishing y otras estafas, que tienden a proliferar cuando aparecen noticias sobre una gran violación de datos.
