今月初め、データブローカーのナショナルパブリックデータ(NPD)が大規模なデータ侵害を発表し、ハッカーが同社のデータベースに保存されていた何百万もの名前、メールアドレス、電話番号、社会保障番号、郵送先住所を取得したことが明らかになりました。NPDは従業員のバックグラウンドチェックを行う企業で、公共データを多数のソースから集めて販売しています。NPDのセキュリティが明らかに不十分であったことが問題ですが、「KrebsOnSecurity」のレポートによると、NPDの姉妹サイトがさらに深刻な誤りを犯し、ユーザー名とパスワードが平文で保存されたアーカイブを容易にアクセス可能な状態でホスティングしていたことが指摘されています。このサイト「RecordsCheck.net」では、ユーザー名とパスワードのソースコードを含む「members.zip」ファイルが昨日までダウンロード可能であり、NPDの創設者であるサルヴァトーレ・ヴェリーニのログイン情報も含まれていました。RecordsCheckを通じて得られるログイン情報は、NPDが提供するデータにアクセス可能でした。KrebsOnSecurityからの通報を受けて、RecordsCheckはファイルを削除し、NPDはサイトを閉鎖するとのことです。ヴェリーニは、このファイルは「動作しないコードとパスワードの古いバージョンを含む」と述べています。また、NPDの漏洩には数十年分の情報が含まれ、現在故人となっている人々のデータも含まれています。漏洩されたのは1億3700万のメールアドレス、2億7200万の社会保障番号です。NPDに対して訴訟も提起されています。
