National Public Data pede falência após ser Hackeada

National Public Data pede falência após ser Hackeada em agosto e Polícia Federal anuncia prisão do Hacker no Brasil .

National Public Data, o corretor de dados hackeado pede falência após vazamento de números de previdência social, nomes, endereços, endereços de e-mail e números de telefone estavam nos 2,9 bilhões de registros dentro de uma violação de dados. 

A National Public Data, que agrega dados para fornecer verificações de antecedentes, confirmou que sofreu uma violação maciça de dados envolvendo números de Seguro Social e outros dados pessoais de milhões de americanos.

Em agosto, a empresa de Coral Springs, Flórida, postou em seu site um aviso “parece ter havido um incidente de segurança de dados que pode ter envolvido algumas de suas informações pessoais. Acredita-se que o incidente tenha envolvido um agente mal-intencionado terceirizado que estava tentando invadir dados no final de dezembro de 2023, com possíveis vazamentos de certos dados em abril de 2024 e no verão de 2024.”

As notícias sobre a violação vieram pela primeira vez de uma ação coletiva movida no Tribunal Distrital dos EUA em Fort Lauderdale, Flórida, e relatada pela primeira vez pela Bloomberg Law. Foram roubados 2,9 bilhões de registros do National Public Data (NPD), incluindo nomes, endereços, números de previdência social e parentes que datam de pelo menos três décadas, de acordo com o escritório de advocacia Schubert, Jonckheer & Kolbe, que entrou com a ação.

A Jerico Pictures, empresa controladora da corretora de dados hackeada National Public Data, disse a um tribunal de falências da Flórida que era improvável que fosse capaz de pagar seus devedores ou resolver suas responsabilidades antecipadas e ações coletivas, incluindo o pagamento “pelo monitoramento de crédito para centenas de milhões de indivíduos potencialmente impactados”.

Em seu pedido inicial, o proprietário da Jerico Pictures, Salvatore Verini, disse que a empresa “enfrenta incertezas substanciais diante de desafios regulatórios da Federal Trade Commission e de mais de 20 estados com penalidades civis por violações de dados”.

A notícia da falência foi relatada pela primeira vez pela PCMag.

Desde abril, um hacker com histórico de venda de dados roubados alegou ter violado dados públicos nacionais e roubado bilhões de registros, afetando cerca de 300 milhões de pessoas, tornando-se uma das maiores violações de dados do ano.

De acordo com o aviso de violação de dados do corretor de dados em seu site, os dados roubados incluem nomes, datas de nascimento, endereços de e-mail e postais, números de telefone e números de previdência social. Dada a natureza das informações que os corretores de dados coletam, alguns dos dados roubados eram precisos, outros não, e muitos deles estavam relacionados a pessoas falecidas.

O banco de dados roubado da empresa continha cerca de 270 milhões de números de Seguro Social no total, estimaram pesquisadores de segurança.

De acordo com os pedidos de falência, Verini avaliou o banco de dados roubado de números do Seguro Social da empresa em US $ 1 milhão. O documento também lista vários outros bancos de dados que a empresa mantém como ativos, mas não forneceu avaliações correspondentes. Esses conjuntos de dados pertencem a indivíduos licenciados pela Drug Enforcement Administration para escrever prescrições de substâncias controladas; aqueles com permissão para portar armas escondidas; e bancos de dados contendo registros públicos, como casamentos, divórcios, pedidos de falência e sanções financeiras internacionais, entre outros.

É improvável que as ações judiciais ou ações de execução resultem em qualquer compensação para os afetados, dado o pouco que resta nos cofres da empresa.

Os pedidos de falência da corretora de dados revelaram que seu provedor de seguros “recusou a cobertura” após a violação de dados e que a empresa tinha menos de US$ 75.000 em ativos totais. Grande parte da receita da empresa foi para compras de dados em massa e para o pagamento da Verini como única operadora da empresa. Conforme exigido pelo pedido de falência, a empresa divulgou lucro líquido de US$ 475.526 em 2022 e US$ 865.149 em 2023.

Hacker ligado ao Hacking é preso no Brasil

O hacker ‘USDoD’ ganhou reputação por vender informações roubadas, inclusive do FBI. Mas em agosto, sua identidade foi aparentemente exposta, o que provavelmente levou à sua prisão.

Um hacker envolvido no vazamento de milhões de números de previdência social (equivalente ao nosso CPF)  dos EUA foi preso no Brasil.

No dia 16 de outibro, a Polícia Federal do Brasil sinalizou que prendeu o hacker “USDoD”, que se tornou famoso por vender e vazar bancos de dados roubados. Isso inclui registros retirados da empresa de verificação de antecedentes National Public Data – uma violação que acabou vazando 272 milhões de números exclusivos do Seguro Social.

A Polícia Federal do Brasil não nomeou o USDoD no anúncio. Mas a agência disse que prendeu um hacker que tentou vender dados do banco de dados InfraGard do FBI. Em dezembro de 2022, o USDoD anunciou a venda em um fórum de hackers por US$ 50.000. Em troca, os compradores teriam acesso a um banco de dados do FBI contendo detalhes de contato sobre pessoas do setor privado encarregadas de gerenciar a infraestrutura crítica dos EUA.

O suspeito deve ser acusado do crime de acesso não autorizado a um dispositivo de TI, agravado pela obtenção de informações, com pena aumentada devido à comercialização dos dados obtidos”, acrescentou a Polícia Federal do Brasil.

A prisão também pode revelar como o National Public Data, com sede na Flórida, foi violado e se o USDoD vendeu os dados para algum grupo de hackers de alto perfil. Dito isso, o USDoD afirma ter sido apenas um corretor para vender os registros roubados retirados da National Public Data; o hacker real atende pelo apelido de “SXUL”. Os números saqueados do Seguro Social também foram posteriormente divulgados gratuitamente em um fórum de hackers, tornando mais fácil para qualquer cibercriminoso baixá-los.

Investigadores no Brasil podem ter conseguido prender o USDoD graças à empresa de segurança cibernética CrowdStrike, que supostamente descobriu a identidade do hacker e depois contou às autoridades locais. Um homem de 33 anos chamado Luan Gonçalves, que opera uma conta no Instagram, reivindicou a responsabilidade por ser USDoD.

Fonte: Techcrunch & National Plubic Data & USA Today & PC Magazine

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. ESET nega que tenha sido comprometida

Deixe sua opinião!