最近幾日，Jerico Pictures Inc.的National Public Data服務遭遇大規模入侵。駭客「Fenice」以純文字形式洩露29億筆（包括重復資料）包含個人詳細資料的記錄，包括全名、地址和SSN(Social Security number,社會安全號碼) ，稱這些資料出自國家公共資料公司（National Public Data）。此次入侵包括個人資料竊取和金融詐騙等重大風險。Jerico Pictures Inc.因這次事件面臨潛在訴訟和法律挑戰。

據悉，這家API公司專門提供犯罪記錄和背景調查服務，隸屬於由傑里科影業公司（Jerico Pictures Inc.）。這些資料現已被外洩給一個臭名昭著網路犯罪和駭客平臺Breach Forums，並分為兩個連結，總計高達277GB的資訊。比較值得注意的是，早在2024年4月，一名化名為「sxul」駭客就曾入侵美國國家公共資料公司，並以200萬美元的價格出售資料庫。國家公共資料公司馬上登上頭條新聞，幾天後，以入侵美國聯邦調查局安全平臺InfraGard而聞名的USDoD 駭客向「sxul 」提供服務，並以350萬美元價格向感興趣者出售資料。目前尚不清楚兩人是否成功出售這些資料，但傑里科影業公司（Jerico Pictures Inc.）已經面臨一場關於這一個資外洩行為大規模訴訟。與此同時，一些知道此一事件的使用戶已經在Reddit上發表他們的社會安全號碼（SSN）已被濫用等情事。（如圖1）

圖1:國家公共資料資料外洩的意外受害者

外洩資料中包含使用者個人詳細資料

Hackread.com研究團隊設法分析這些資料，發現其中包含不明使用者的個人詳細個人資料，包括全名、地址、城市、縣、州、郵遞區號和社會安全號 (SSN) 等純文字資料。

圖2是外洩資料的完整明細，其中常用ABC替換原始PII（Personally Identifiable Information，個人可辨識資訊）PII資料，用 000000000替換SSN(Social Security number,社會安全號碼)：

圖2: ABC替換原始PII，000000000替換SSN

國家公共資料公司的資料外洩事件可能是近些年規模最大、影響最深遠的網路安全事件之一。此前，雅虎資料外洩事件影響30億使用者，已開創大規模資料外洩的先例。此次的資料洩露事件對美國人構成了重大威脅，因為外洩的資料中包括明文SSN，而SSN是用於各種金融和政府交易的關鍵識別字。這些SSN一旦落入不法分子之手，就極易被身份詐騙犯罪份子濫用，從而使這次外洩事件成為一個重大的安全隱患。（如圖3）

圖3: 漏洞論壇上的 Fenice

網路犯罪份子一旦獲取這些社會安全號碼 (SSN)，便可實施身份盜用、註冊虛假信用帳戶、從而獲得貸款等金融利益，甚至進行虛假報稅等。這些都可能會導致受害人巨大經濟損失、信用評分受損，同時受害者還需要花大量的時間讓身份資料恢復正常。

此外，SSN的終身性質還意味著這些風險可能會無限期地持續，持續讓受影響者帶來長期的警惕性和潛在的財務不穩定性等。

參考來源：https://hackread.com/data-breach-national-public-data-records-ssns-dumped/