Un événement alarmant secoue le secteur de la cybersécurité : une fuite massive de données toucherait près de 2,9 milliards de dossiers personnels. Les implications de cette violation pourraient être catastrophiques pour les victimes, dont les informations sensibles se retrouvent sur le dark web. Les détails entourant cet incident soulèvent d’importantes questions.
La société de vérification des antécédents National Public Data — également connue sous le nom de Jerico Pictures — a connu ce qui semblerait être l’une des violations de données les plus graves de l’histoire, affectant 2,9 milliards de dossiers personnels, avec des données sensibles ayant fuité, telles que des numéros de sécurité sociale, comme mentionné dans un document de recours collectif et rapporté par Bloomberg Law. Ce qui est encore plus alarmant, c’est qu’on ne sait pas comment cette violation s’est produite au départ — ni qui en réalité partie.
Avant d’entrer dans les détails, il convient de préciser que National Public Data n’a pas encore confirmé la violation, ce qui signifie que de nombreuses informations proviennent uniquement du recours collectif ou du groupe de hackers. Autrement dit, certaines des données doivent être prises avec prudence. Quoi qu’il en soit, la situation semble préoccupante.
Le recours collectif indique que des données critiques, telles que des adresses, des noms complets et des informations sur des proches, auraient été divulguées sur le dark web. Les informations comprennent même des détails sur des parents décédés datant de plusieurs décennies.
Le procès affirme aussi que National Public Data aurait extrait des données de sources non publiques pour réaliser des vérifications d’antécédents personnels. Il s’avère que beaucoup d’utilisateurs n’étaient même pas au courant que l’entreprise détenait ces informations.
Selon la plainte, un fournisseur de services de protection contre le vol d’identité a averti l’utilisateur concerné, Christopher Hofmann, de la fuite aux alentours du 24 juillet, bien qu’ils pensent que la violation aurait eu lieu en avril. Au moment où ce service l’a informé, ses données et potentiellement celles de milliards d’autres étaient déjà mises en vente pour 3,5 millions de dollars par le groupe criminel USDoD sur une base de données du dark web.
Le recours collectif accuse NPD d’enrichissement sans cause, de négligence, de bénéficiaire tiers et de manquements à des obligations fiduciaires. Par ailleurs, la plainte exige que NPD procède à un scan de sa base de données, segmente les données, mette en place un système de gestion des menaces, et engage un évaluateur tiers chaque année pour évaluer ses normes de cybersécurité pendant les dix prochaines années. Le tribunal a également ordonné à NPD de purifier les données personnelles de toutes les personnes concernées et de crypter toutes les données collectées à partir de maintenant.
Cela pourrait représenter la violation de données la plus importante depuis celle de Yahoo en 2013, où les informations personnelles de 3 milliards d’utilisateurs ont été compromises. Pour rester en sécurité, nous recommandons d’utiliser l’un des meilleurs fournisseurs de services de protection contre le vol d’identité disponibles sur le marché.