Игра чисел: разоблачение мифа о 2,9 миллиардах жертв утечки NPD

В июле произошла одна из крупнейших утечек данных в истории, связанная с компанией National Public Data (NPD). Случай вызвал широкий резонанс в прессе и стал предметом коллективного иска, хотя компания оставалась малоизвестной для большинства людей до инцидента. Исследователи Трой Хант и Брайан Кребс опубликовали подробные обзоры огромного массива украденных данных.

National Public Data — компания, которая собирает и обрабатывает большие объемы личной информации для предоставления различных услуг. Деятельность включает проверку записей из базы данных уголовных дел США, создание отчётов о прошлом личности, а также продажу данных мобильным приложениям и сайтам проверки биографий. По словам экспертов, утечка затронула не только живых людей, но и умерших, что ещё больше усложняет ситуацию.

Утечка данных стала известна в апреле, когда на форуме Breachforums хакер «USDoD» опубликовал более 4 ТБ данных. Сообщалось, что в утечку попали данные примерно 2,9 миллиардов человек, включая номера социального страхования (SSN), адреса и другие личные данные. Однако многие эксперты обратили внимание на несоответствие в числах: фактическое количество людей значительно меньше, чем заявленный объём данных. Например, номера SSN относятся в основном к жителям США, а в Канаде и Великобритании используются другие идентификаторы. Такие нестыковки вызвали вопросы относительно достоверности и происхождения утекших данных.

Многие СМИ неверно интерпретировали количество утекших данных, указав, что пострадали 2,9 миллиарда человек. На самом деле, эта цифра отражает количество строк в украденных наборах данных, а не количество пострадавших пользователей. При этом оказалось, что в данных содержатся повторяющиеся записи, что дополнительно запутало ситуацию. Например, многие строки содержат одинаковые номера социального страхования, но с разными именами и адресами. Другими словами, в заявленных 2,9 миллиарда строк может быть много дубликатов, что ставит под сомнение количество реально пострадавших.

Специалисты Atlas Data Privacy Corp. проанализировали украденные данные и сообщили, что в них содержится 272 миллиона уникальных SSN. Большинство записей включают имя, SSN и домашний адрес, причем 26% записей также содержат номера телефонов. Интересно, что значительная часть данных относится к умершим людям, причем средний возраст пострадавших – 70 лет.

В июле утекшие данные стали доступны широкому кругу лиц, и NPD уведомила клиентов о компрометации данных. Особое внимание привлекло то, что в утечке не содержались данные тех людей, которые ранее отказались от сбора и обработки данных, что подтвердило легальность действий компании. NPD утверждает, что сотрудничает с правоохранительными органами и проводит расследование, обещая уведомить пользователей о дальнейших изменениях в ситуации.

Несмотря на всю серьёзность инцидента, точное происхождение данных остаётся неясным. Хакеры, участвовавшие в распространении информации, регулярно публиковали новые фрагменты данных, но общий объём данных не соответствовал заявленным 4 ТБ. Кроме того, обнаружились совпадения с предыдущими утечками данных из других источников, что вызвало подозрения, что часть данных могла быть собрана из различных источников, включая NPD.

Особенно тревожным оказалось то, что некоторые данные содержали недостоверную информацию. Например, в базе данных присутствовали записи с неправильными датами рождения и несоответствующими именами. Это создавало дополнительные сложности для тех, кто пытался оценить масштабы утечки и её последствия.

NationalPublicData.com управляется компанией Jerico Pictures Inc., основанной бывшим заместителем шерифа округа Брауард, Сальваторе Верини. Помимо деятельности в сфере сбора данных, Верини также известен своими ролями в кино и продюсированием различных документальных фильмов. Однако компания не раскрывает источники, из которых она получает данные для своих услуг.

Пользователям, чьи данные могли быть скомпрометированы, настоятельно рекомендуется заморозить свои счета, чтобы предотвратить возможное мошенничество. Также важно регулярно проверять счета и незамедлительно оспаривать любые подозрительные данные.