在上週,至少針對被描述為對個人身份信息(PII)的最大違反行為的最大違反行為提起了四項集體訴訟。在近30億張記錄中,有200千兆字節,其中包含未知數的“美國,加拿大和英國公民”的PII,包括社會保險號和犯罪記錄,被偷走了。國家公共數據,位於佛羅里達的數據經紀人。
電子隱私信息中心說,美國的數據經紀人購買,匯總,披露和出售數十億個數據要素,這些數據要素幾乎沒有監督和“幾乎沒有經濟動機來保護消費者數據”。
擬議的集體訴訟之一指稱PII受損已經被“用於身份盜竊和欺詐方面使用,將來可以(用於)犯下各種犯罪,包括在班級成員的名字中開設新的財務帳戶,在班級成員的名字中拿出貸款,使用班級成員的信息來獲得政府福利,獲得欺詐性納稅申報表…在班上獲得駕駛員的駕駛執照,但要與其他人的照片相比,並在警察逮捕了一個人的情況下,並在逮捕了一份逮捕人員的情況下。”
該訴訟稱,每個班級成員都“面臨欺詐和身份盜用的迫在眉睫和迫在眉睫的風險”,“現在和將來必須密切監控其財務賬戶,以防止身份盜用。”
該訴訟斷言,整個課程的待遇是適當的,因為原告可以使用與所用相同的證據在範圍內證明其主張的要素,以證明這些因素在個人行動中指控相同索賠。該訴訟稱,美國PII在數據洩露中受到妥協的所有個人都代表著一個類。
國家公共數據是Jerico Pictures,Inc。的DBA,這是一家電影和電視製作公司,在洛杉磯和佛羅里達州的Coral Gables設有辦事處,該網站沒有引用國家公共數據。國家公共數據網站說,該公司是“專門從事背景調查和欺詐預防的公共記錄數據提供者”,它“從各種公共記錄數據庫,法院記錄,州記錄,州和國家數據庫以及全國范圍內的其他存儲庫中獲取信息”,這些客戶包括“私人調查人員,消費者公共記錄站點,人力資源,人力資源,以及犯罪分子的犯罪行為”,以及“以及犯罪分子”的犯罪行為”,並獲得“駕駛犯罪分子”的行為”,” XML-API網關。
當8月1日在佛羅里達州南部地區的美國地方法院提起的第一個擬議集體訴訟中揭示了這一漏洞。自那以後,生物識別更新據悉,至少還有其他三項擬議集體訴訟也在美國地方法院提起佛羅里達州南部地區法院,指控國家公共數據“未能適當地保護並保護其作為常規商業慣例的一部分收集和維護的PII。”
根據8月1日提交的兩套訴訟的案件號,它們倆都是同時提交的,一個接一個地。所有訴訟都聲稱,國家公共數據從未向受影響的人提供任何通知,也沒有透露它是否曾經對黑客進行“正式調查”。
儘管有許多媒體要求發表評論,但該公司尚未發表公開聲明。
此外,沒有具有網絡安全職責的美國聯邦部門或機構提供了正式評論。
擬議的集體訴訟訴訟稱,像國家公共數據這樣的公司“特別容易受到網絡攻擊的影響,因為他們收集和維護的信息的敏感性。”
著名的網絡安全專家MacDonnell Ulsch是2012年至2014年的全球網絡威脅顧問,Pricewaterhousecoopers的網絡犯罪前高級董事總經理兼Dun&Bradstreet信息安全副總裁,生物識別更新“擁有大量有價值數據的公司通常不具備完全保護數據的能力,”指出“管理數據是一家營利性業務”,並且“保護數據是一項成本密集的業務。以合適的價格找到正確的平衡是非常困難的。這就是為什麼我們遭受瞭如此多的成功數據洩露。”
The first suit filed against National Public Data August 1 by Christopher Hofmann of Fremont, California (0:24-cv-61383) alleges he was only made aware of the breach when he “received a notification [in July] from his identity theft protection service provider notifying him that his PII was compromised as a direct result of the nationalpublicdata.com breach, and that his PII had been found on the dark web.”
在第二種情況下(0:24-CV-61384),也是8月1日提交的,原告伊維特·伯根(Yvette Burgen)說,她“被experian和turbotax告知她的pii已“在黑暗的網絡上傳播”。
8月2日提交的三等訴訟訴訟(0:24-CV-61396-MD)指稱,原告,Barry Cotton和Gary Lake以及7月29日左右的“班級成員”以及“班級成員”收到了通知,他們的個人數據,包括他們的PII和社會保險人數,包括在DARK WEB上發現的,以及在黑暗網絡中發現的,以及他們在黑暗網絡中發現了這些損害,並且在這些範圍內發現了這些信息。服務。 ”
8月3日提起了第四次擬議的集體訴訟(0:24-CV-61412),將詹姆斯·托馬斯·瓊斯(James Thomas Jones)和“班級成員”命名為原告。
法律消息人士稱,在同一佛羅里達州地方法院提起眾多集體訴訟,可能還會有更多的訴訟 - 可能需要將它們合併為“一項大型認證的集體訴訟”。
的確。已經有六個以上的律師事務所“代表受害者調查主張”。其中包括位於俄克拉荷馬城的Federman&Sherwood;辛辛那提,位於俄亥俄州的Markovits,Stock&Demarco;馬爾頓,新澤西州的Console&Associates;位於紐約的Levi&Korsinsky,LLP;總部位於佛羅里達州奧蘭多的摩根和摩根;位於佛羅里達州勞德代爾堡的Kopelowitz Ostrow PA;位於賓夕法尼亞州哈弗福德的Chimicles Schwartz Kriner和Donaldson-Smith LLP;位於加利福尼亞州薩克拉曼多的專業公司Clayeo C. Arnold;以及總部位於加利福尼亞的Wucetich&Korovilas LLP的El Segundo。
華盛頓特區的重新啟動討論也開始聽到,關於規範第三方PII數據聚合器和數據經紀人的必要性,即使不是完全禁止公開可用數據轉售的問題。
國會消息來源告訴生物識別更新前所未有的國家公共數據洩露行為正在參議院對兩黨的版本發揮作用第四修正案不是出售法案最近在房子里通過了。該法案將禁止政府,執法和情報機構從數據經紀人那裡購買美國人的數據 - 數據政府否則需要獲得逮捕令。然而,該法案受到白宮和執法協會的反對,儘管國會最高民主黨議員的支持。
雖然該立法僅針對政府和實體購買第三方PII,但生物識別更新已經了解到,國會山上也有關於限制數據經紀人可以獲得和出售的個人信息類型的隆隆聲。隨著國家公共數據洩露的更多細節的更多細節,辯論幾乎肯定會變得更大。
“聯邦和州政府的網絡安全和隱私法是有價值的,但是它們永遠不會停止數據洩露,” Skytop Media Group的灰色區研究與情報公司的創始人烏爾施(Ulsch)警告說,電視節目Programs Grey Zone Report Report-China的主持人。 “他們可能會阻止某些攻擊者,在某些情況下可能會減少或限制損害賠償,但他們將永遠不會阻止有堅定的,資金豐富的攻擊者。”
烏爾施(Ulsch)在某種程度上解釋說:“網絡犯罪團體,尤其是複雜的,經驗豐富的犯罪團體,具有多種關鍵優勢。一個人經常在美國管轄範圍之外運作。戰爭或戰爭的行為,如果這些群體中的一個人打算損害公司的防禦,那麼他們可能會等到他們發現適當的利用脆弱性。”
針對國家公共數據提起的一流行動訴訟是第一個指控該數據通過從非公共來源刮下個人的PII,並指控其出售的一些數據,並且“(班級成員都不明智地將他們的PII都提供給公司)。該訴訟稱:“使事情變得更糟,”該公司“沒有原告和班級成員的同意或知識。 ”
該訴訟進一步聲稱:“通過從原告和班級成員的PII中獲得,收集,使用和獲取利益,被告人承擔了這些人的法律和公平職責,以保護和保護這些信息免受未經授權的訪問和入侵和入侵的影響。”
儘管國家公共數據尚未透露有關如何或何時發生數據洩露的細節,但該訴訟說:“一個以USDOD的名義的網絡犯罪群體獲得了2024年4月之前獲得[]被告網絡的訪問權限,並能夠剝奪未加工的個人的遺留地,並銷售了數十億個被遺產的人。通過網絡犯罪分子。”
4月初,USDOD在“黑暗網絡黑客黑客”論壇上發布了一個名為“國家公共數據”的數據庫,稱其包含29億個人的PII,並且數據庫的數據庫可以以350萬美元的價格擁有。
隨後,關於惡意軟件和網絡安全的網站VX-Underground,陳述在X上說:“我們被告知USDOD打算洩露數據庫。我們提前請求副本以確認數據的有效性。我們審查了大規模文件 - 277.1GB未壓縮,並且可以確認其中存在的數據是真實而準確的。”
該職位之後不久,VX-Underground寫道:“ USDOD是最初發帖的經紀人和/或中間人”,他們“被指示明確指出,要對妥協的信貸表示應以“ SXUL”綽號為單位。
根據Crowdstrike“至少自2020年以來,USDOD都進行了黑客主義和出於經濟動機的違規行為,主要採用社會工程策略來訪問敏感數據。在過去的兩年中,[USDOD]一直集中在高調的目標入侵運動中。此外,自2024年1月以來,[USDOD]自行地進行了各種各樣的活動,從而使他們的行為分散地進行了行動,從而逐步進行了行動。
USDOD落後於2022年12月違反聯邦調查局的Infragard數據庫,該數據庫損害了87,000多名Infragard成員的PII。
2024年7月24日,USDOD在網絡犯罪論壇上聲稱,它負責洩露CrowdStrike的“整個威脅演員名單”。 CrowdStrike表示,USDOD據稱已獲得CrowdStrike的“整個IOC(妥協指標)列表”。
然而,在四月,USDOD在Breachforums上表示,他正在放棄黑客攻擊,說:“現在是時候進入陰影,思考自己,我的家人和我的生活。”
7月29日,網絡新聞出版面試與USDOD。
