Dopo anni trascorsi a individuare e indagare sulle violazioni dei dati, Greg Pollock ammette che quando si imbatte in un altro database esposto pieno di password e numeri di previdenza sociale, “ci arrivo con una certa fatica”. Ma Pollock, direttore della ricerca presso la società di sicurezza informatica UpGuard, afferma che lui e i suoi colleghi hanno trovato on-line un database esposto e accessibile al pubblico a gennaio che sembrava contenere una miniera di dati personali sensibili degli americani così enorme che la sua stanchezza si è attenuata e sono subito entrati in azione per convalidare la scoperta.
IL Lo sottolineano i ricercatori di UpGuard che non tutti i documenti rappresentano informazioni uniche e valide, ma i totali grezzi trovati nell’esposizione di gennaio includevano circa 3 miliardi di indirizzi e-mail e password, nonché circa 2,7 miliardi di documenti che includevano numeri di previdenza sociale. Non period chiaro chi avesse creato il database, ma sembrava contenere dettagli personali che potrebbero essere stati messi insieme da molteplici violazioni di dati storici, incluso, forse, il tesoro della violazione del 2024 del servizio di controllo dei precedenti Nationwide Public Information. È normale che i dealer di dati e i criminali informatici combinino e ricombinino vecchi set di dati, ma la portata e la potenziale quantità di numeri di previdenza sociale, anche se solo una frazione di essi erano reali, erano sorprendenti.
“Ogni settimana, c’è un’altra scoperta che sembra importante sulla carta, ma probabilmente non è molto nuova”, afferma Pollock, “Quindi sono rimasto sorpreso quando ho iniziato a scavare nei casi specifici qui per convalidare i dati. In alcuni casi, le identità coinvolte in questa violazione dei dati sono a rischio perché sono state esposte, ma non sono ancora state sfruttate.”
I dati sono stati ospitati dal fornitore cloud tedesco Hetzner. Poiché Pollock non è riuscito a identificare un proprietario del database da contattare, ha informato Hetzner il 16 gennaio. La società, a sua volta, ha dichiarato di aver informato il suo cliente, che ha rimosso i dati il 21 gennaio.
Hetzner non ha fornito a WIRED commenti prima della pubblicazione.
I ricercatori non hanno scaricato l’intero set di dati per l’analisi a causa delle sue dimensioni e sensibilità. Invece hanno lavorato con un campione di 2,8 milioni di documenti, una piccola frazione del totale. Analizzando le tendenze nei dati, inclusa la popolarità di alcuni riferimenti culturali nelle password, hanno concluso che la maggior parte dei dati risale probabilmente agli Stati Uniti intorno al 2015. Advert esempio, le password che facevano riferimento a One Course, Fall Out Boy e Taylor Swift erano molto comuni. Nel frattempo, i riferimenti a Blackpink, Katseye e Btsarmy cominciavano appena advert apparire.
I vecchi dati sono ancora preziosi per due motivi. Innanzitutto, le persone spesso riutilizzano lo stesso indirizzo e mail e la stessa password, o una variante della password, su molti siti Internet e servizi diversi. Ciò significa che i criminali informatici possono continuare a provare nel tempo le stesse credenziali di accesso per le stesse persone. La seconda ragione è che i numeri di previdenza sociale delle persone sono spesso collegati ai dati più sensibili e advert alto rischio, ma non cambiano quasi mai durante la loro vita. Di conseguenza, i SSN validi sono uno dei fiori all’occhiello del furto d’identità per gli aggressori.
Nel campione di dati analizzati dai ricercatori, Pollock afferma che un SSN su quattro sembrava essere valido e legittimo. Il campione period troppo piccolo per essere estrapolato all’intero set di dati, ma un quarto di tutti i report contenenti SSN sarebbero 675 milioni. Una frazione di questo rappresenterebbe comunque un insieme molto significativo di numeri di previdenza sociale.
Per verificare i dati, i ricercatori di UpGuard hanno contattato una manciata di persone i cui dati apparivano nel tesoro trapelato. Pollock sottolinea che una delle scoperte più preoccupanti emerse dal dialogo con queste persone è stata che non a tutte loro è stata rubata l’identità o hanno subito attacchi hacker. In altre parole, nel database erano presenti informazioni che non sono state ancora sfruttate dai criminali informatici e le potenziali vittime non necessariamente sanno che le loro informazioni sono state esposte.
