アンドリュー・オール
· 1分で読めます
NPDの新たな侵害でパスワードが漏洩、新たなセキュリティ上の懸念が高まる
先週、あなたに関するほぼすべての個人データが盗まれたことが悪いことだと思ったのなら、持ち株会社のパスワードも盗まれたという話を聞くまで待ってください。
4月、サイバー犯罪者はNPDから盗んだデータの販売を開始しました。盗まれたデータには、2億7,200万人以上の個人の名前、住所、電話番号、さらにはメールアドレスまで含まれており、その多くは故人でした。NPDは8月にこの情報漏洩を認め、2023年12月に遡るセキュリティインシデントが原因であるとしました。
しかし、姉妹サイトである recordscheck.net が管理者のパスワードとソースコードをホームページ上で誤って公開していたことが発覚し、状況はさらに悪化しました。
KrebsOnSecurityの読者から、Records Checkのウェブサイトに「members.zip」というファイルが存在するとの報告がありました。8月19日までアクセス可能だったこのファイルには、NPDの主要プラットフォームと同様に、サイトの様々なコンポーネントのユーザー名とパスワードが含まれていました。多くのRecordsCheckユーザーは、デフォルトのパスワードを変更していませんでした。
NPDのプラットフォームへの侵入により、消費者は個人情報窃盗のリスクが高まっています。侵害されたパスワードにより、サイバー犯罪者はNPDのプラットフォーム内外に保存されている個人情報にアクセスできるようになります。
あなたにできること
情報漏洩の深刻さを鑑み、消費者はEquifax、Experian、TransUnionといった大手信用調査機関に登録されている信用情報を直ちに凍結する必要があります。信用情報の凍結により信用情報へのアクセスが制限され、なりすまし犯があなたの名前で新規口座を開設することが困難になります。
クレジット凍結はすべての個人情報の盗難を防止できるわけではありませんが、脆弱なデータ環境では重要な保護を提供します。
信用情報に不正行為がないか、定期的に確認しましょう。連邦取引委員会は無料の信用情報レポートを発行しており、不正確な情報を早期に発見し、異議を申し立てることができます。
それぞれのオンラインアカウントに、それぞれ異なる強力なパスワードを設定し、定期的に変更しましょう。パスワードマネージャーを使えば、複雑なパスワードを記憶する手間をかけずにセキュリティを維持できます。
最後に、社会保障番号やその他のデータが今回の侵害で漏洩したかどうかを確認するためのウェブサイトがいくつか開設されています。その一つが、Atlas Data Privacy Corp.が作成した検索ページであるnpdbreach.comです。また、npd.pentester.comでも検索サービスが利用可能です。
NPD の侵害に関する調査が続く中、消費者と規制当局は個人データの取り扱いと保護についてさらに高い説明責任を要求しなければなりません。
