Sebuah data dump yang berisi 2,7 miliar catatan informasi pribadi untuk orang-orang yang tinggal di AS, termasuk Nomor Jaminan Sosial mereka, baru-baru ini bocor secara daring. Isi data dump tersebut dikaitkan dengan National Public Data, sebuah perusahaan yang mengambil informasi dari sumber-sumber non-publik dan menjualnya untuk pemeriksaan latar belakang. Kini, perusahaan tersebut telah mengonfirmasi bahwa mereka memang mengalami “insiden keamanan data” di mana nama, email, alamat, nomor telepon, nomor jaminan sosial, dan alamat surat orang-orang telah dicuri.
Kata-kata National Public Data dalam laporan Insiden Keamanannya agak samar dan berbelit-belit, tetapi laporan itu menyalahkan pelanggaran keamanan pada aktor jahat pihak ketiga. Laporan itu mengatakan bahwa aktor jahat itu “berusaha meretas data pada akhir Desember 2023” dan bahwa “potensi kebocoran data tertentu” terjadi pada April 2024 dan musim panas 2024, yang menunjukkan bahwa peretas telah berhasil menyusup ke sistemnya. Pada bulan April, aktor ancaman yang dikenal sebagai USDoD mencoba menjual 2,9 miliar catatan orang yang tinggal di AS, Inggris, dan Kanada seharga $3,5 juta. Laporan itu mengklaim telah mencuri informasi dari National Public Data. Sejak saat itu, catatan tersebut telah bocor secara online dalam beberapa bagian dengan yang terbaru lebih komprehensif dan berisi informasi yang lebih sensitif.
Perusahaan tersebut mengatakan bahwa mereka bekerja sama dengan penegak hukum untuk meninjau catatan yang berpotensi terpengaruh dan akan “berusaha memberi tahu” individu “jika ada perkembangan signifikan lebih lanjut yang berlaku” bagi mereka. Perusahaan tersebut juga mengatakan bahwa mereka menerbitkan pemberitahuan tersebut sehingga mereka yang berpotensi terpengaruh dapat mengambil tindakan. Perusahaan tersebut menyarankan orang-orang untuk memantau akun keuangan mereka untuk transaksi penipuan, dan juga mendorong mereka untuk mendapatkan laporan kredit gratis dan mencantumkan peringatan penipuan pada berkas mereka.
National Public Data kini menghadapi gugatan class action yang diajukan pada awal Agustus oleh penggugat yang menerima pemberitahuan dari layanan perlindungan pencurian identitas mereka bahwa informasi pribadi mereka telah diunggah di web gelap. Mereka berpendapat bahwa perusahaan tersebut gagal “mengamankan dan menjaga dengan baik informasi identitas pribadi yang dikumpulkan dan disimpan sebagai bagian dari praktik bisnis regulernya.”