Apa arti pelanggaran data publik nasional senilai 2,7 miliar bagi bank?

Pada hari Selasa, pialang data pribadi National Public Data mengakui adanya pelanggaran data yang melibatkan 2,7 miliar informasi pribadi, termasuk nama, alamat, dan nomor Jaminan Sosial, dalam salah satu pelanggaran data terbesar yang diketahui dalam hal catatan yang bocor.

Catatan tersebut memengaruhi sejumlah korban di AS yang saat ini tidak diketahui jumlahnya, termasuk enam orang yang telah mengajukan gugatan class action terhadap National Public Data, yang juga dikenal sebagai Jerico Pictures. Para penggugat dalam gugatan tersebut menuduh bahwa National Public Data bertindak lalai dalam kegagalannya melindungi informasi identitas pribadi mereka, atau PII.

Ketika secara terbuka mengakui pelanggaran tersebut, National Public Data mengatakan insiden tersebut melibatkan “aktor jahat pihak ketiga yang mencoba meretas data pada akhir Desember 2023, dengan potensi kebocoran data tertentu pada April 2024 dan musim panas 2024,” menurut sebuah pernyataan di situs webnya.

Perusahaan tersebut mengonfirmasi dalam pernyataannya bahwa data yang dibobol mencakup nama, alamat email, nomor telepon, nomor Jaminan Sosial, dan alamat surat.

Data Publik Nasional tidak menanggapi permintaan komentar tambahan.

Perusahaan tersebut mengiklankan bahwa pelanggannya meliputi “detektif swasta, situs catatan publik konsumen, sumber daya manusia, agen perekrutan, dan banyak lagi.” Perusahaan tersebut mengatakan bahwa pelanggan dapat mencari “miliaran catatan dengan hasil instan.”

National Public Data menyatakan di situs webnya bahwa mereka memperoleh informasi “dari berbagai basis data catatan publik, catatan pengadilan, basis data negara bagian dan nasional, serta repositori lain di seluruh negeri.”

Outlet berita keamanan siber BleepingComputer dilaporkan minggu ini bahwa, meskipun beberapa catatan akurat, beberapa lainnya tidak, menurut orang-orang yang nama dan alamatnya muncul di database. Demikian pula, Berita TechCrunch mengatakan tinjauannya terhadap sampel lima juta catatan menemukan informasi pribadi yang cocok dengan catatan publik dan informasi yang tampaknya tidak akurat.

Menurut pemilik anonim akun media sosial vx-underground, sebuah kumpulan sampel malware daring, beberapa individu dalam basis data tersebut juga telah meninggal selama hampir 20 tahun, dan basis data tersebut juga tidak memuat informasi dari “individu yang menggunakan layanan penyisihan data.”

Namun, tidak jelas layanan opt-out mana yang akan melindungi individu, karena ada banyak sekali layanan seperti ituyang semuanya menawarkan layanan privasi data dalam berbagai jenis. National Public Data sendiri memiliki prosedur opt-out.

Masing-masing dari 2,7 miliar catatan yang dibobol merupakan baris dalam spreadsheet. Beberapa baris dapat merujuk ke orang yang sama, dengan setiap baris berisi alamat berbeda yang terkait dengan orang tersebut. Karena itu, tidak langsung jelas berapa banyak individu yang terdampak oleh pembobolan tersebut.

Kronologi pelanggaran dan pengungkapan

Pada Tanggal 7 aprilkelompok penjahat dunia maya USDoD mengiklankan penjualan empat terabyte data curian di pasar data ilegal BreachForums. Daftar tersebut mengklaim bahwa basis data tersebut berisi 2,9 miliar data, yang mencakup “seluruh populasi” AS, Inggris, dan Kanada. Harga yang diminta USDoD adalah $3,5 juta.

Pada 1 Juniakun vx-underground mengatakan telah mengetahui USDoD bermaksud membocorkan basis data tersebut. Akun tersebut menambahkan bahwa pelaku ancaman SXUL adalah orang yang telah membahayakan basis data National Public Data, dan pialang data USDoD adalah orang yang ingin menjualnya.

Antara tanggal 1 Agustus dan 5 Agustus, para korban dugaan pelanggaran data mengajukan setidaknya lima gugatan class action terhadap National Public Data, semuanya di Distrik Selatan Florida, tempat perusahaan Coral Springs berkantor pusat. Salah satu gugatan tersebut menyebutkan nama dua orang.

Pada tanggal 6 Agustus, seorang pengguna BreachForums bernama Fenice mengunggah 277 gigabyte data untuk diunduh secara gratis oleh siapa saja. Data yang diunggah tersebut mencakup 2,7 miliar data. Pengguna tersebut mengklaim bahwa itu adalah “basis data lengkap” dari pelanggaran SXUL terhadap Data Publik Nasional.

Pada SelasaNational Public Data secara terbuka mengakui pelanggaran tersebut dalam pernyataan di situs webnya.

Bagaimana bank dapat membantu nasabah melindungi diri mereka sendiri

Bank dan koperasi kredit yang ingin membantu nasabahnya melindungi diri terhadap potensi dampak pelanggaran data dapat memberikan informasi tentang apa yang harus dilakukan selanjutnya.

Sebagai dua contoh, Bank Fulton Dan Bank Nasional Kota (anak perusahaan Royal Bank of Canada) keduanya menyediakan panduan bagi nasabah tentang apa yang harus dilakukan jika informasi pribadi mereka dicuri. Komisi Perdagangan Federal juga menerbitkan panduan konsumen tentang apa yang harus dilakukan jika informasi mereka terungkap. Panduan ini adalah salah satu sumber daya yang disediakan melalui pencurianidentitas.govyang mencakup saran dan informasi lainnya.

Salah satu langkah penting bagi konsumen adalah menerapkan pembekuan berkas kredit gratis melalui tiga biro kredit utama. Administrasi Layanan Umum AS menyediakan informasi dan tautan prosedur, seperti yang dilakukan banyak jaksa agung negara bagian.

Publikasi advokasi konsumen Consumer Reports menyediakan panduan gratis untuk layanan opt-out data. Kelompok kepentingan publik nirlaba World Privacy Forum juga menyediakan panduan lengkap ke jenis layanan opt-out lainnya.

Terakhir, platform teknologi keamanan siber Pentester menyediakan alat gratis untuk memeriksa apakah data seseorang muncul dalam pelanggaran Data Publik Nasional.

American Banker secara independen mengonfirmasi bahwa alat tersebut menyediakan data yang benar tentang beberapa individu. Publikasi tersebut tidak dapat memverifikasi secara independen bahwa individu yang tidak mendapatkan kecocokan tidak muncul dalam basis data yang bocor. Dengan kata lain, bahkan jika seseorang tidak menemukan kecocokan dengan alat Pentester, data mereka mungkin masih muncul dalam pelanggaran.