黑客可能已窃取每个美国人的社会安全号码
本文为翻译转载,原文标题为Hackers may have stolen the Social Security numbers of every American. How to protect yourself, 2024.8.13, Los Angeles Times
大约四个月前,一个臭名昭著的黑客组织声称从一家大型数据经纪商那里窃取了大量敏感个人信息,据报道,该组织的一名成员已将大部分信息免费发布在一个被盗个人数据的在线市场上。
美国公共信息研究小组消费者监督机构主任特蕾莎·默里表示,此次泄露的数据包括社保号码和其他敏感数据,可能引发一系列身份盗窃、欺诈和其他犯罪行为。
默里在接受采访时表示:“如果这实际上是我们所有人的全部档案,那么这肯定比之前的违规行为更令人担忧。”“如果人们过去没有采取预防措施,而他们本应该这样做,那么这应该为他们敲响五级警钟。”
根据在佛罗里达州劳德代尔堡美国地方法院提起的集体诉讼,黑客组织美国国防部于 4 月声称从国家公共数据公司窃取了 29 亿人的个人记录,该公司向雇主、私人调查员、人事代理机构和其他进行背景调查的人提供个人信息。一名网络安全专家在 X 上的一篇帖子中表示,该组织在一个论坛上提出以350 万美元的价格出售这些数据,其中包括来自美国、加拿大和英国的记录。
根据 BleepingComputer 截取的一张截图,上周,一位自称是国防部成员的 Felice 告诉黑客论坛,他们正在提供“完整的 NPD 数据库”。Felice 声称,这些信息包含约 27 亿条记录,每条记录都包括个人的全名、地址、出生日期、社会安全号码和电话号码,曾用名和出生日期。
National Public Data 没有回应置评请求,也没有正式通知人们有关所谓的数据泄露事件。不过,该公司一直告诉通过电子邮件联系它的人,“我们注意到某些第三方声称涉及消费者数据,并正在调查这些问题。”
在那封电子邮件中,该公司还表示,它已经“清除了整个数据库的所有条目,基本上是将所有人都排除在外。”该公司表示,因此,它删除了有关人们的所有“非公开个人信息”,但它补充说,“我们可能需要保留某些记录以遵守法律义务。”
几家专注于网络安全的新闻媒体查看了 Felice 提供的部分数据,并表示这些数据似乎是真实人物的真实信息。如果泄露的材料确有其事,以下是一些风险以及你可以采取的保护措施。
01
身份盗窃的威胁
此次泄密事件旨在提供银行、保险公司和服务提供商在创建账户时以及批准更改现有账户密码的请求时所需的大量信息。
黑客的窃取数据中似乎遗漏了几个关键信息。一个是电子邮件地址,许多人用它来登录服务。另一个是驾照或护照照片,一些政府机构依靠它们来验证身份。
不过,特蕾莎·默里表示,不法分子可以利用泄露的信息做“各种各样的事情”,最令人担忧的可能是试图接管某人的账户——包括与银行、投资、保险单和电子邮件相关的账户。利用您的姓名、社会安全号码、出生日期和邮寄地址,诈骗者可能会以您的名义创建虚假账户,或试图说服某人重置您现有账户的密码。
“对于一个真正精通此道的人来说,”默里说道,“可能性真的是无穷无尽的。”
犯罪分子还可能利用以前数据泄露事件中的信息,将电子邮件地址添加到报道的国家公共数据泄露事件的数据中。默里表示,有了这些,“你就可以制造各种混乱,犯下各种罪行,窃取种金钱。”
02
如何保护自己
多年来,数据泄露事件屡见不鲜,一些安全专家表示,你的敏感信息几乎肯定隐藏在互联网的黑暗角落。而且有很多人能够找到这些信息;VPNRanks 是一家对虚拟专用网络服务进行评级的网站,据它估计,每天有 500 万人通过匿名 TOR 浏览器访问暗网,尽管其中只有一部分人会做坏事。
如果你怀疑自己的社保号或其他重要身份信息被泄露,专家建议你应该冻结三大信用机构Experian、Equifax和TransUnion的信用档案。你可以免费这样做,这将阻止犯罪分子以你的名义贷款、申请信用卡和开设金融账户。问题是,如果你正在获取或申请需要信用检查的东西,你需要记住暂时解除冻结。
冻结资金可通过在线或电话方式进行,具体操作需与各信用机构单独联系。PIRG 提醒您,切勿对声称来自信用机构的未经请求的电子邮件或短信做出回应 — 此类信息很可能是骗子所为,他们试图欺骗您泄露敏感的个人信息。
您还可以注册一项服务来监控您的账户和暗网,以防止身份被盗,这通常需要付费。如果您的数据在入侵中暴露,被入侵网络的公司通常会免费提供其中一项服务,为期一年或更长时间。
虽然这些措施对于阻止他人以您的名义开设新账户非常重要,但它们对于保护您现有的账户却没有多大帮助。奇怪的是,如果您没有注册在线访问这些账户,这些账户特别容易受到身份窃贼的攻击,Murray 说——这是因为窃贼冒充您创建登录名和密码比破解您现有的登录名和密码更容易。
当然,设置针对每项服务都不同的强密码并定期更改会有所帮助。密码管理器应用程序提供了一种简单的方法来创建和跟踪密码,方法是将密码存储在云中,本质上要求您记住一个主密码,而不是几十个长而无法发音的密码。这些既可以免费使用(例如 Apple 的 iCloud Keychain),也可以付费使用。
除此之外,专家表示,注册双重身份验证非常重要。这在您的登录名和密码之上增加了另一层安全性。第二个因素通常是发送或链接到您手机的东西,例如短信;更安全的方法是使用身份验证器应用程序,即使您的电话号码被诈骗者劫持,它也能保证您的安全。
是的,诈骗者可以通过SIM 卡交换和端口转移欺诈等手段劫持您的电话号码,从而造成更多身份盗窃噩梦。为了在这方面保护您,AT&T 允许您创建密码来限制对您帐户的访问;T-Mobile 提供可选保护,以防止您的电话号码被切换到新设备,而 Verizon会通过关闭新设备和现有设备来自动阻止 SIM 卡交换,直到帐户持有人使用现有设备进行权衡。
03
你最大的敌人可能是你自己
除了窃取数据外,诈骗者还依赖人们透露自己的敏感信息。一种常见的伎俩是冒充您的银行、雇主、电话公司或与您有业务往来的其他服务提供商,然后试图用短信或电子邮件诱骗您。
例如,银行通常会告诉客户,他们不会通过电话询问他们的账户信息。然而,诈骗者会冒充银行保安人员,试图阻止未经授权的提款或其他所谓的紧急威胁,诱骗受害者提供他们的账号、登录名和密码。
默里表示,人们甚至可能会收到一封看似来自国家公共数据公司的官方电子邮件,表示愿意帮助他们处理所报告的泄密事件。“这不是国家公共数据公司试图提供帮助。这可能是一些海外的坏人”试图骗取他们的敏感信息。
一个好的经验法则是永远不要点击未经请求的短信或电子邮件中的链接或拨打电话号码。如果该消息警告您的帐户存在欺诈行为,而您不想简单地忽略它,请查找该公司欺诈部门的电话号码(在您的借记卡和信用卡背面)并致电寻求指导。
科睿研究院最早成立于中国香港特别行政区,是国际科学与人文科学院(International Core Academy of Sciences and Humanities)建设的综合性研究机构,致力于搭建学术界与社会间高效沟通的桥梁,将前沿的学术研究成果赋能至新时代社会发展。
作为科睿研究院主办的官方号,我们致力于打造高质量知识交流平台:持续推出与当代社会相关的洞察分析与时事评论,定期发布高质量专栏文章与交流活动,并推送有价值的学术资源和最新资讯。同时,学院积极欢迎读者们的踊跃来稿,参与我们的知识传递之旅中!
往期推荐
1
2
3
4
人工智能在拉丁美洲:2亿人还上不了网,数字殖民主义会出现吗?