Amerika Birleşik Devletleri’ndeki insanlara ait yaklaşık 2,7 milyar kişisel bilgi kaydı, isimleri, adresleri ve hatta Sosyal Güvenlik numaralarını ifşa eden popüler bir bilgisayar korsanlığı forumuna gönderildi. Verilerin, meşru kullanım için verileri toplayan ve satan bir şirketten geldiği iddia ediliyor, ancak Nisan 2024’te çalındı ve satışa çıkarıldı.
Başlangıçta, USDoD olarak bilinen bir tehdit aktörü, National Public Data’dan bilgileri çaldığını iddia etti. National Public Data, bilgileri kamu kaynaklarından toplar, bunları bireysel profilleri derlemek için kullanır ve ardından bu portföyleri satar. Şirket, özel dedektiflerin yanı sıra geçmiş kontrolleri yapması ve suç kayıtları elde etmesi gereken kuruluşlara da hizmet veriyor.
USDoD verileri ilk aldığında, bunları 3,5 milyon dolara satmayı teklif etti. Bilgisayar korsanı, verilerin 2,9 milyar kayıt içerdiğini ve Kanada, Birleşik Krallık ve Amerika Birleşik Devletleri’ndeki her kişiye ait kişisel bilgilerden oluştuğunu iddia etti. Geçmişte, USDoD’nin Aralık 2023’te InfraGard’ın kullanıcı veritabanını 50.000 dolara satmaya çalışarak başka bir veritabanı ihlaliyle bağlantısı kurulmuştu.
6 Ağustos’ta, Fenice takma adını kullanan bir kullanıcı, şu olduğuna inanılan şeyi yayınladı: en eksiksiz versiyon Çalınan Ulusal Kamu Verisi bilgilerinin Breached hacking forumunda ücretsiz olarak yayınlanması. Ancak Fenice, veri ihlalinin aslında USDoD’den farklı bir hacker, SXUL olarak bilinen bir hacker tarafından yapıldığını söylüyor.
Bu sızıntıdan gelen veriler ilk kez yayınlanmıyor, ancak önceki gönderilerde verilerin yalnızca kısmi kopyaları yer alıyordu. Bunlar farklı sayıda kayıt ve bazen farklı veriler içeriyordu. Fenice, Ulusal Kamu Verisi bilgilerinin en eksiksiz sürümünü sundu ve bunu ücretsiz olarak sağladı.
BleepingComputer, sızıntının gerçekten ABD’deki her kişiye ait veri içerip içermediğini doğrulayamadı, ancak çok sayıda kişiden kendi ve aile üyelerinin ayrıntılarının dahil edildiğine dair onay aldı. Tom’s Hardware de iddianın doğruluğunu doğrulayamadı, çünkü sızıntıyı oluşturan iki dosya oldukça yavaş bir indirme sunucusundan toplam 277 GB veri içeriyor.
Verilerde yanlış Sosyal Güvenlik numaraları da dahil olmak üzere başka sorunlar da kaydedildi. Ayrıca, BleepingComputer’ın kontrol edebildiği kayıtlar eski adres verileri içeriyordu ve bu da verilerin eski bir yedekten gelmiş olabileceğini gösteriyor. Son olarak, veri sızıntısındaki birçok kişinin birden fazla kaydı var, yaşadıkları her adres için bir kayıt. Dolayısıyla ABD’deki 333 milyon kişinin tamamının etkilenip etkilenmediği belirsiz.
Bununla birlikte, önümüzdeki aylarda/yıllarda dolandırıcılık faaliyetlerine karşı kredi raporunuza biraz daha dikkat etmelisiniz. Sızıntı e-posta adreslerini ve telefon numaralarını da içerdiğinden, sizden daha fazla bilgi almaya çalışan kimlik avı e-postalarına ve SMS girişimlerine karşı daha dikkatli olmak iyi bir fikir olacaktır.