ABD’de yaşayan kişilere ait yaklaşık 2,7 milyar kişisel bilgi kaydı bir bilgisayar korsanlığı forumunda sızdırıldı; kişilerin isimleri, sosyal güvenlik numaraları, bilinen tüm fiziksel adresleri ve olası takma adları ifşa edildi.
Verilerin, geçmiş kontrolleri, suç kayıtları elde etme ve özel dedektiflik faaliyetlerinde kullanılmak üzere kişisel verileri toplayan ve satan National Public Data adlı şirketten geldiği iddia ediliyor.
National Public Data’nın, ABD ve diğer ülkelerdeki kişilere ait bireysel kullanıcı profillerini derlemek amacıyla bu bilgileri kamuya açık kaynaklardan topladığı düşünülüyor.
Nisan ayında, USDoD olarak bilinen bir tehdit aktörü, Ulusal Kamu Verilerinden çalınan ABD, İngiltere ve Kanada’daki kişilere ait kişisel verileri içeren 2,9 milyar kaydı sattığını iddia etti.
Tehdit aktörü o dönemde verileri 3,5 milyon dolara satmaya çalışmış ve bunların üç ülkedeki herkesin kayıtlarını içerdiğini iddia etmişti.
USDoD, daha önce Aralık 2023’te InfraGard’ın kullanıcı veritabanının 50.000 dolara satılması girişimiyle bağlantısı bulunan bilinen bir tehdit aktörü.
BleepingComputer o dönemde National Public Data ile iletişime geçti ancak e-postamıza hiçbir yanıt alamadı.
Çalınan veriler ücretsiz olarak sızdırıldı
O zamandan beri çeşitli tehdit aktörleri verilerin kısmi kopyalarını yayınladı ve her sızıntı farklı sayıda kaydı ve bazı durumlarda farklı verileri paylaştı.
6 Ağustos’ta “Fenice” olarak bilinen bir tehdit grubu, çalınan Ulusal Kamu Verileri verilerinin en eksiksiz versiyonunu Breached hacking forumunda ücretsiz olarak sızdırdı.
Ancak Fenice, veri ihlalinin USDoD yerine “SXUL” adlı başka bir tehdit aktörü tarafından gerçekleştirildiğini söylüyor.
Kaynak: BleepingComputer
Sızdırılan veriler, toplam 277 GB büyüklüğünde iki metin dosyasından oluşuyor ve USDoD tarafından ilk paylaşılan 2,9 milyar rakamı yerine yaklaşık 2,7 milyar düz metin kaydı içeriyor.
BleepingComputer, bu sızıntının ABD’deki her kişiye ait verileri içerip içermediğini doğrulayamasa da, çok sayıda kişi, ölenler de dahil olmak üzere kendilerine ve aile üyelerine ait meşru bilgileri içerdiğini doğruladı.
Her kayıt aşağıdaki bilgilerden oluşur – bir kişinin isim, posta adresleriVe sosyal güvenlik numarasıbazı kayıtlar ek bilgiler de içeriyor, örneğin diğer isimler kişiyle ilişkilendirilmiştir. Bu verilerin hiçbiri şifrelenmemiştir.
Daha önce sızdırılan veriler arasında telefon numaraları ve e-posta adresleri de yer alıyordu ancak bunlar 2,7 milyarlık sızıntıya dahil değil.
Bir kişinin, yaşadığı bilinen her adres için birden fazla kaydının olacağını belirtmek önemlidir. Bu ayrıca, bu veri ihlalinin, verileri düzgün bir şekilde araştırmamış birçok makalede hatalı bir şekilde bildirildiği gibi 3 milyar kişiyi etkilemediği anlamına gelir.
Bazı kişiler BleepingComputer’a, sosyal güvenlik numaralarının tanımadıkları başka kişilerle ilişkili olduğunu, dolayısıyla tüm bilgilerin doğru olmadığını söyledi.
Son olarak, bu veriler güncel olmayabilir; çünkü kontrol ettiğimiz kişilerin hiçbirinin güncel adresini içermiyor ve bu da verilerin eski bir yedekten alınmış olabileceğini gösteriyor olabilir.
Veri ihlali, insanların verilerini yeterli düzeyde korumadığı gerekçesiyle National Public Data adı altında faaliyet gösterdiği düşünülen Jerico Pictures’a karşı çok sayıda toplu dava açılmasına yol açtı.
ABD’de yaşıyorsanız, bu veri ihlali muhtemelen kişisel bilgilerinizin bir kısmının sızdırılmasına neden olmuştur.
Veriler yüz milyonlarca sosyal güvenlik numarasını içerdiğinden, kredi raporunuzu dolandırıcılık faaliyetlerine karşı izlemeniz ve tespit edilmesi halinde kredi bürolarına bildirmeniz önerilir.
Ayrıca, daha önce sızdırılan örneklerde e-posta adresleri ve telefon numaraları da bulunduğundan, sizi ek hassas bilgiler vermeye kandırmaya çalışan kimlik avı ve SMS mesajlarına karşı dikkatli olmalısınız.