Tài khoản có tên Fenice đã đăng tải hai tệp văn bản với dung lượng tổng cộng 277 GB, chứa lượng dữ liệu khổng lồ này. Các thông tin này được cho là bị đánh cắp từ National Public Data, một công ty chuyên thu thập và bán quyền truy cập vào dữ liệu cá nhân phục vụ cho các hoạt động kiểm tra lý lịch, truy vấn hồ sơ tội phạm và hỗ trợ các điều tra viên tư nhân.
Vào tháng 4 năm nay, hacker có biệt danh USDoD tuyên bố đã nắm trong tay 2,9 tỷ dữ liệu cá nhân của người dân từ Mỹ, Anh và Canada, tất cả đều bị đánh cắp từ National Public Data. Hacker này sau đó đã cố gắng bán số dữ liệu với giá 3,5 triệu USD nhưng không thành công. Trong những tháng tiếp theo, USDoD dần công khai các dữ liệu mà mình sở hữu. Tuy nhiên, Fenice - người đã đăng tải toàn bộ dữ liệu lên diễn đàn - cho biết rằng dữ liệu này thực chất đến từ một tin tặc khác có tên SXUL.
Kho dữ liệu chứa các thông tin nhạy cảm như tên, email, số điện thoại, số an sinh xã hội và thậm chí cả thông tin về thân nhân của các cá nhân liên quan. Mặc dù chưa thể xác định toàn bộ thông tin có phải là của người Mỹ hay không, nhưng nhiều người đã xác nhận tính chính xác của những dữ liệu này. Một số người còn cho biết thông tin liên quan đến thân nhân đã qua đời cũng xuất hiện trong dữ liệu bị rò rỉ. Đáng lo ngại hơn, không có dữ liệu nào trong số này được mã hóa, làm tăng nguy cơ bị lợi dụng bởi các đối tượng xấu.
Tuy nhiên, không phải toàn bộ dữ liệu đều chính xác. Một số người cho biết số an sinh xã hội của họ bị liên kết sai với những cá nhân khác, trong khi một số thông tin có thể đã lỗi thời và không còn trùng khớp với hiện tại.
Vụ rò rỉ này chỉ là một trong nhiều vụ việc liên quan đến an ninh dữ liệu tại Mỹ trong thời gian gần đây. Tháng trước, AT&T - một trong những nhà mạng lớn nhất nước này - cũng thừa nhận bị tấn công, làm lộ thông tin cuộc gọi và tin nhắn của "gần như tất cả" khách hàng. Trước đó, vào tháng 3, nhà mạng này thông báo rằng 7,6 triệu tài khoản khách hàng hiện tại và 65,4 triệu tài khoản khách hàng cũ đã bị rao bán trên "chợ đen". AT&T cho biết, những dữ liệu này có thể đã bị lấy sau một vụ tấn công từ năm 2019 hoặc thậm chí sớm hơn.
Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về tình trạng an ninh mạng và bảo mật thông tin cá nhân, đòi hỏi các doanh nghiệp và tổ chức phải nâng cao hơn nữa các biện pháp phòng ngừa để bảo vệ dữ liệu của người dùng.