Desde Abril, um hacker com um historial de venda de dados roubados reivindicou uma violação de milhares de milhões de registos – afectando pelo menos 300 milhões de pessoas – de um corretor de dados dos EUA, o que tornaria esta uma das maiores alegadas violações de dados do ano.
Os dados, vistos pelo TechCrunch, por si só parecem parcialmente legítimos – embora imperfeitos. Os dados roubados, que foram anunciados num conhecido fórum de crimes cibernéticos, alegadamente datam de há anos e incluem nomes completos de cidadãos norte-americanos, o seu histórico de endereços residenciais e números de Segurança Social – dados que estão amplamente disponíveis para venda por corretores de dados.
Mas a confirmação da origem do alegado roubo de dados revelou-se inconclusiva, tal é a natureza da indústria de corretagem de dados, que engole dados pessoais de indivíduos provenientes de fontes díspares, com pouco ou nenhum controlo de qualidade.
O suposto corretor de dados em questão, segundo o hacker, é a National Public Data, que se autodenomina “um dos maiores fornecedores de registros públicos na Internet”.
Em seu site oficial, Dados públicos nacionais reivindicados vender acesso a diversas bases de dados: um “People Finder”, onde os clientes podem pesquisar por número de Segurança Social, nome e data de nascimento, morada ou número de telefone; um banco de dados de dados de consumidores dos EUA “abrangendo mais de 250 milhões de indivíduos”; um banco de dados contendo dados de registro eleitoral que contém informações sobre 100 milhões de cidadãos dos EUA; um de antecedentes criminais e vários outros.
Grupo de pesquisa de malware vx-underground disse no X (antigo Twitter) que revisaram todo o banco de dados roubado e puderam “confirmar que os dados nele presentes são reais e precisos”.
“Procuramos vários indivíduos que consentiram que as suas informações fossem consultadas”, escreveu o grupo, acrescentando que conseguiram encontrar as informações dessas pessoas, incluindo nomes, histórico de endereços que remonta a mais de três décadas e números de Segurança Social.
“Também nos permitiu encontrar seus pais e irmãos mais próximos. Conseguimos identificar alguém [sic] pais, parentes falecidos, tios, tias e primos”, escreveu vx-underground.
O TechCrunch fez esforços semelhantes para verificar a autenticidade dos dados, com resultados mistos.
Contate-nos
Você tem mais informações sobre este incidente ou incidentes semelhantes? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail. Você também pode entrar em contato com Zulkarnain Saer Khan pelo Signal em +36707723819 ou pelo X @ZulkarnainSaer. Você também pode entrar em contato com o TechCrunch via SecureDrop.
Em nossa análise de uma amostra menor de cinco milhões de registros, encontramos muitos nomes e endereços que correspondem aos registros públicos correspondentes, mas também alguns dados que nem sempre fazem sentido — como endereços de e-mail com nomes diferentes que não têm nenhuma influência aparente no restante dos dados do indivíduo associado. Alguns registos continham alegadas informações sobre indivíduos conhecidos de alto perfil, incluindo dados pessoais de um antigo presidente dos EUA.
O TechCrunch forneceu ao USDoD, o hacker que está vendendo os dados, os nomes de oito pessoas que deram seu consentimento, na tentativa de verificar se o hacker realmente possui dados legítimos. O hacker não retornou nenhum dado das oito pessoas.
O TechCrunch também alcançou cem pessoas cujos números e e-mails estavam na amostra. Apenas uma pessoa respondeu e confirmou que parte dos seus alegados dados roubados eram precisos, mas não todos.
Ir direto à suposta fonte do roubo de dados também não respondeu muito.
Apesar de várias tentativas de contato com a empresa, a National Public Data não respondeu, nem seu fundador e CEO, Salvatore Verini. Depois que o TechCrunch entrou em contato pela primeira vez com a National Public Data na semana passada, a empresa retirou do ar as páginas do seu site que incluíam detalhes sobre os bancos de dados aos quais vende acesso.
Nem todas as violações de dados reivindicadas por hackers, especialmente aquelas anunciadas em fóruns de hackers, são reais. É por isso que o TechCrunch e outros repórteres de segurança cibernética muitas vezes gastam uma quantidade considerável de tempo tentando verificar uma violação de dados, esforços que às vezes terminam com resultados inconclusivos.
Mas esta alegada violação de um corretor de dados parece ser uma exceção, em parte porque alguns dos dados parecem genuínos e outros já verificados.
A proliferação e a mercantilização de dados pessoais em todo o setor de corretagem de dados também tornam mais difícil identificar a origem dos vazamentos de dados. E mesmo que esta violação de dados em particular permaneça sem solução, mostra mais uma vez que a indústria de corretagem de dados está fora de controlo e coloca problemas reais de privacidade às pessoas comuns.
Não conseguimos resolver definitivamente o mistério desta violação de dados, mas havia o suficiente para detalhar os nossos esforços de verificação. Uma coisa é clara. Enquanto os corretores de dados coletarem informações pessoais, continuará existindo o risco de os dados serem divulgados.
