今月初め、データブローカーのナショナルパブリックデータ(NPD)が大規模なデータ侵害を発表しました。ハッカーは同社のデータベースから数百万の名前、メールアドレス、電話番号、社会保障番号、郵送先住所を入手しました。NPDは従業員のバックグラウンドチェックを行う企業で、多くの公的データを集約し販売しています。NPDのセキュリティには明らかな欠陥がありましたが、新たな報告によれば、NPDの姉妹サイトがさらに重大なミスを犯し、ユーザー名とパスワードがプレーンテキストで保存された容易にアクセス可能なアーカイブをホストしていたことが明らかになりました。名義の記録をホストするRecordsCheck.netというサイトでは、「members.zip」というファイルが昨日までダウンロード可能でした。このファイルには、レコードチェックのユーザーのユーザー名とパスワード、NPDの創業者であるサルバトーレ・ヴェリーニのログイン情報も含まれていました。RecordsCheckを介して提供されたログイン情報で、NPDのデータにアクセスできました。KrebsOnSecurityが通知した後、RecordsCheckはファイルを削除し、NPDはこのサイトを閉鎖することになりました。ヴェリーニ氏は、このファイルが「古いバージョンのサイトで動作しないコードとパスワードを含んでいた」と述べています。NPDの漏洩には数十年分の情報が含まれており、故人のデータもありました。137百万のメールアドレスと272百万の社会保障番号が漏洩しました。その後、NPDに対して訴訟が提起されました。
