Une fuite de données contenant 2,7 milliards de dossiers d’informations personnelles de personnes vivant aux États-Unis, y compris leurs numéros de sécurité sociale, a récemment été diffusée sur Internet. Le contenu de cette fuite de données était lié à National Public Data, une entreprise qui récupère des informations de sources non publiques et les vend à des fins de vérification des antécédents. L’entreprise a maintenant confirmé qu’elle avait bel et bien été victime d’un « incident de sécurité des données » au cours duquel les noms, e-mails, adresses, numéros de téléphone, numéros de sécurité sociale et adresses postales de personnes avaient été volés.
Le libellé du rapport de National Public Data sur les incidents de sécurité est un peu vague et alambiqué, mais l’entreprise a imputé la faille de sécurité à un tiers malveillant. Elle a déclaré que le pirate « essayait de pirater des données fin décembre 2023 » et que « des fuites potentielles de certaines données » ont eu lieu en avril 2024 et à l’été 2024, indiquant que le pirate avait réussi à infiltrer son système. En avril, un acteur malveillant connu sous le nom d’USDoD a tenté de vendre 2,9 milliards de dossiers de personnes vivant aux États-Unis, au Royaume-Uni et au Canada pour 3,5 millions de dollars. Il a affirmé avoir volé les informations à National Public Data. Depuis lors, les dossiers ont été divulgués en morceaux en ligne, le plus récent étant plus complet et contenant des informations plus sensibles.
L’entreprise a déclaré avoir travaillé avec les forces de l’ordre pour examiner les dossiers potentiellement concernés et qu’elle « essaierait d’avertir » les personnes « si d’autres développements importants les concernent ». Elle a également déclaré avoir publié l’avis afin que les personnes potentiellement concernées puissent prendre des mesures. L’entreprise conseille aux personnes de surveiller leurs comptes financiers pour détecter les transactions frauduleuses et les encourage également à obtenir des rapports de solvabilité gratuits et à ajouter une alerte à la fraude à leur dossier.
L’entreprise National Public Data fait déjà face à un recours collectif intenté début août par un plaignant qui a reçu une notification de son service de protection contre le vol d’identité selon laquelle ses informations personnelles avaient été publiées sur le dark web. Il a fait valoir que l’entreprise n’avait pas « correctement sécurisé et protégé les informations personnelles identifiables qu’elle avait collectées et conservées dans le cadre de ses pratiques commerciales habituelles ».