包括社保号码在内的大规模数据泄露可能比想象的还要严重

一家公司最终承认了数据被窃取，并表示黑客获取了比之前报道的还要多的敏感信息。该公司此前的数据泄露事件可能导致每个美国人的社会安全号码都被暴露给身份窃贼。

国家公共数据公司是一家总部位于佛罗里达州的公司，专门收集个人信息以进行背景调查。该公司在其网站上发布了“安全事件”通知，报告“2024 年 4 月和 2024 年夏季某些数据可能泄露”。该公司表示，此次入侵似乎涉及第三方“试图在 2023 年 12 月下旬入侵数据”。

根据在佛罗里达州劳德代尔堡美国地方法院提起的集体诉讼，黑客组织美国国防部于 4 月声称从国家公共数据公司窃取了 29 亿人的个人记录。一名网络安全专家在 X 上的一篇帖子中表示，该组织在一个黑客热门论坛上发帖，提出以 350 万美元的价格出售这些数据，其中包括来自美国、加拿大和英国的记录。

根据 BleepingComputer 截取的一张截图，上周，一位自称是国防部成员的 Felice 告诉黑客论坛，他们正在提供“完整的 NPD 数据库”。Felice 声称，这些信息包含约 27 亿条记录，每条记录都包括个人的全名、地址、出生日期、社会安全号码和电话号码，以及别名和出生日期。

没有任何信息被加密。

阅读更多： 黑客可能窃取了每个美国人的社会安全号码。以下是如何保护自己

这样的泄露本身就已经很成问题了。但根据国家公共数据，此次泄露还涉及电子邮件地址——这对身份窃贼和诈骗分子来说是至关重要的信息。

知道某人的电子邮件地址后，更容易受到网络钓鱼攻击，这些攻击试图欺骗人们泄露金融账户密码或下载可以从设备中提取敏感个人信息的恶意软件。此外，由于许多人使用他们的电子邮件地址登录在线账户，因此它可能被用来通过密码重置来劫持这些账户。

目前尚不清楚此次泄密事件究竟泄露了哪些信息。在使用 Google One 进行的一次非常小规模的扫描中，国家公共数据泄密事件期间获取的电子邮件地址并未出现。但网络安全公司 Pentester 的一款免费工具发现，据称此次泄密事件泄露的其他个人数据（包括社会安全号码）均在暗网上。

国家公共数据公司在其网站上表示，如果有“进一步的重大进展”适用于个人，它将通知个人。该公司表示：“我们还实施了额外的安全措施，以防止此类违规行为再次发生并保护我们的系统。”

此前，该公司在发给那些寻求账户信息的人的电子邮件中表示，它已经“清除了整个数据库的所有条目，基本上是让所有人都退出了。”该公司表示，因此，它删除了有关人们的所有“非公开个人信息”，但它补充说，“我们可能需要保留某些记录以遵守法律义务。”

阅读更多： 安全漏洞导致几乎所有 AT&T 客户的数据被下载

该公司没有回应置评请求。洛杉矶律师事务所 Greenberg Glusker 的隐私和数据安全业务负责人 Timothy Toohey 表示，加州以及基本上所有其他州的法律都要求公司通知任何个人，他们的敏感个人信息已被泄露。

Toohey 表示，通知没有具体的截止日期，只是希望能够尽快完成。但他表示，此案的范围对国家公共数据公司来说是一个挑战，因为它必须弄清楚哪些受影响的人还活着，以及他们目前住在哪里，然后遵守该州的具体要求。

“从逻辑上来说，这有点令人难以置信，”图希说。

目前，国家公共数据提供的唯一通知似乎是其网站上的页面，上面写着：“我们通知您，以便您采取行动，帮助最大限度地减少或消除潜在危害。我们强烈建议您采取预防措施，以帮助防止和发现您的信息被滥用。”

图希说，这种通知不符合加州法律的要求，加州法律还要求，任何影响超过 500 名州居民的违规行为都必须告知州检察长办公室。

National Public Data 建议的步骤包括检查您的金融账户是否存在未经授权的活动，并在三大信用机构 Equifax、Experian 和 TransUnion 的账户上设置免费欺诈警报。该公司建议，一旦您在账户上设置了欺诈警报，就要求免费提供信用报告，然后检查其中是否存在您不认识的账户和查询。“这些可能是身份盗窃的迹象。”

到目前为止，该公司还没有为信息被盗的人提供免费的信用监控服务，这与其他遭受大规模数据泄露的公司不同。“通常，在数据泄露通知中，你会提供一些东西，因为你想表现出积极主动和帮助人们的样子，”Toohey 说。

“从公司的角度来看，发生了一件坏事。公司当然觉得自己是受害者，但公众却不这么认为。”

安全专家还建议冻结三大信用局的信用档案。您可以免费冻结，这将防止犯罪分子以您的名义贷款、申请信用卡和开设金融账户。问题是，如果您正在获取或申请需要信用检查的东西，您需要记住暂时解除冻结。

与此同时，安全专家表示，请确保所有在线账户都使用双因素身份验证，以使其更难被劫持。

鉴于“冒名顶替诈骗”的盛行，寻找电子邮件或短信不合法的迹象也很重要。这些诈骗会使用伪装成银行或服务提供商紧急询问的消息，试图欺骗您交出您的身份密钥，甚至可能是您的储蓄。任何要求提供敏感个人信息的行为都是一个巨大的危险信号。

阅读更多： 专栏：为什么利润丰厚的公司不愿意投入足够多的资金来阻止黑客窃取你的私人信息

网络安全公司 Surfshark 的亚历山大·瓦伦蒂建议仔细检查发件人的电子邮件地址，看它是否与他们所代表的组织的名称不完全匹配，并检查是否有拼写错误或语法错误——这是诈骗的两个明显迹象。瓦伦蒂表示，如果邮件来自你从未与之互动过的人，请避免点击链接，包括“取消订阅”链接或按钮，因为坏人会将它们用于恶意目的。

“如果您怀疑自己收到了钓鱼邮件，请不要与其互动，并向您的电子邮件提供商报告，”Valentij 说。“如果有人假装是合法组织，您也应该向该组织报告。完成后，删除电子邮件，并对将来的类似电子邮件保持警惕。”

订阅我们的 Wide Shot 新闻通讯以获取最新的娱乐商业新闻、分析和见解。

这个故事最初刊登在《洛杉矶时报》。