Brokers descuidados: un archivo reveló los datos personales de 272 millones de estadounidenses

Se han conocido nuevos detalles sobre la filtración de datos de National Public Data (NPD). Una empresa que colabora con NPD y tiene acceso a las mismas bases de datos publicó accidentalmente las contraseñas de estas bases de datos directamente en su sitio web.

El incidente se dio a conocer en abril de 2024, cuando un hacker llamado USDoD comenzó a vender los datos robados de NPD. En julio, se filtró en internet información sobre más de 272 millones de personas, incluidos nombres, números de SSN, direcciones y números de teléfono. Tras la publicación sobre la magnitud de la filtración, uno de los lectores de KrebsOnSecurity informó que el servicio de verificación de datos relacionado con NPD, recordscheck[.]net, accidentalmente colocó en su sitio web un archivo con nombres de usuario y contraseñas de administrador. El archivo estuvo disponible en el sitio hasta el 19 de agosto.

El archivo contenía contraseñas en texto plano para varios componentes del sitio recordscheck, que en apariencia y funcionalidad es similar a nationalpublicdata. En el archivo también se encontraron pruebas de que a los usuarios inicialmente se les asignó una contraseña de seis dígitos que muchos nunca cambiaron.

Además, estas contraseñas coinciden con las que se comprometieron en filtraciones anteriores relacionadas con las cuentas del fundador de NPD, Salvatore Verini. Verini confirmó que el archivo fue eliminado y que recordscheck pronto cesará sus operaciones. Verini también aclaró que el archivo contenía una versión antigua del sitio con código y contraseñas inactivos, y que la investigación del incidente aún está en curso.

El sitio fue desarrollado por la empresa pakistaní Creation Next, que aún no ha dado comentarios.

Ya han aparecido en internet varios sitios que permiten a los usuarios verificar si su información personal se vio comprometida como resultado de esta filtración. Uno de estos sitios es npdbreach[.]com, y otro es npd[.]pentester[.]com. Ambos recursos mostraron que los datos de NPD están desactualizados y contienen muchas inexactitudes.

Se recomienda encarecidamente a los usuarios cuyos datos podrían haber sido comprometidos que congelen sus cuentas para prevenir posibles fraudes. También es importante revisar regularmente las cuentas y disputar de inmediato cualquier dato sospechoso.

National Public Data es una empresa que recopila y procesa grandes volúmenes de información personal para proporcionar diversos servicios. Su actividad incluye la verificación de registros de bases de datos de antecedentes penales de EE. UU., la creación de informes sobre antecedentes personales, así como la venta de datos a aplicaciones móviles y sitios de verificación de antecedentes. Según expertos, la filtración afectó no solo a personas vivas, sino también a fallecidos, lo que complica aún más la situación.