Công ty “Dữ liệu Công cộng Quốc gia” Mỹ bị hack, 2,9 tỷ thông tin cá nhân rò rỉ

Công ty kiểm tra lý lịch “Dữ liệu Công cộng Quốc gia” (National Public Data, NPD) xác nhận rằng đã xảy ra rò rỉ dữ liệu, vụ việc có thể đã làm lộ 2,9 tỷ thông tin cá nhân, khiến người dân ở Mỹ, Canada và Vương quốc Anh trở thành nạn nhân.

Vào tháng 4 năm nay, một nhóm hacker nổi tiếng với việc bán thông tin bị đánh cắp “USDoD” đã bắt đầu bán lượng lớn dữ liệu trên web đen với giá 3,5 triệu USD. Họ tuyên bố rằng dữ liệu bao gồm 2,9 tỷ hồ sơ và ảnh hưởng đến “toàn bộ dân số Mỹ, Canada và Vương quốc Anh”.

Nếu tuyên bố của nhóm hacker là đúng, thì phát tán dữ liệu này có thể là một trong những vụ phát tán lớn nhất từ ​​trước đến nay, xét về số lượng người bị ảnh hưởng.

Vụ rò rỉ đã dẫn đến một vụ kiện tập thể.

Ông Christopher Hofmann, cư dân California, cho biết ông chỉ biết đến vấn đề này vào tháng 7, khi một dịch vụ bảo vệ chống trộm danh tính thông báo cho ông rằng thông tin cá nhân của ông đã bị xâm phạm và đăng trên web đen.

Sau đó, ông Hofmann và các nạn nhân khác đã đệ đơn kiện tập thể. Đơn khiếu nại (PDF) cáo buộc rằng NPD đã thu thập hàng tỷ thông tin cá nhân từ các nguồn không công khai để tiến hành hoạt động kinh doanh của mình. Điều này có nghĩa là các nguyên đơn đã không chủ động cung cấp dữ liệu của họ cho công ty.

Vụ kiện cho biết thông tin bị xâm phạm bao gồm số An sinh xã hội, địa chỉ trước đây và hiện tại cũng như thông tin nhạy cảm về cha mẹ, anh chị em và những người thân khác của nguyên đơn, bao gồm cả một số người đã qua đời gần 20 năm.

Ông Hofmann cáo buộc NPD sơ suất, thu lợi bất chính, vi phạm nghĩa vụ ủy thác và hợp đồng thụ hưởng bên thứ ba, đồng thời yêu cầu bồi thường thiệt hại.

Ông cũng yêu cầu tòa án ra lệnh cho NPD xóa thông tin cá nhân của tất cả các cá nhân bị ảnh hưởng, và mã hóa tất cả dữ liệu được thu thập trong tương lai.

Trong nhiều tháng, NPD không đưa ra tuyên bố hay phản hồi nào cho đến đầu tuần này, khi họ cuối cùng xác nhận đã xảy ra rò rỉ dữ liệu, nhưng không nêu rõ có bao nhiêu người đã bị đánh cắp thông tin.

NPD đã đưa ra tuyên bố hôm thứ Hai, nói rằng nhóm hacker đã cố gắng xâm nhập cơ sở dữ liệu của công ty vào tháng 12/2023, và có thể đã phát tán một số dữ liệu vào tháng 4 /2024 và mùa hè năm 2024.

NPD cho biết thông tin có thể bị xâm phạm bao gồm tên, địa chỉ email, số điện thoại, số an sinh xã hội và địa chỉ thực.

Công ty cho biết họ đang hợp tác với “các cơ quan thực thi pháp luật và các nhà điều tra của chính phủ, đồng thời tiến hành xem xét các hồ sơ có khả năng bị ảnh hưởng”. Nếu có những diễn biến quan trọng hơn nữa, các thông báo tiếp theo sẽ được đưa ra.

NPD đã không trả lời nhiều yêu cầu bình luận của nhiều hãng truyền thông. Tuy nhiên, theo Los Angeles Times, NPD đã trả lời một số người đã liên hệ với họ qua email, nói rằng công ty đã “xóa toàn bộ cơ sở dữ liệu” và xóa “thông tin cá nhân không công khai”.

Các chuyên gia an ninh mạng cho biết nếu mọi người được thông báo rằng thông tin cá nhân của họ đã bị rò rỉ, bước đầu tiên là thay đổi mật khẩu của các tài khoản bị ảnh hưởng để tránh mọi truy cập trái phép. Nếu sử dụng cùng một mật khẩu cho các tài khoản khác thì tốt nhất cũng nên cập nhật mật khẩu đó.