Uma ação coletiva gerou uma alegação viral, mas infundada, de que os números da Previdência Social de todos os cidadãos dos EUA vazaram como parte de uma violação de dados neste ano.
Mas uma análise preliminar de especialistas sobre o vazamento sugere que ele pode incluir dados parciais e incorretos, além de algumas informações legítimas, deixando a escala do vazamento e a autenticidade da alegação pouco claras.
Analistas de segurança que falaram com a NBC News também disseram que, embora ainda seja preocupante, o vazamento dos números da Previdência Social não é motivo para pânico — os números de muitas pessoas já vazaram em ataques anteriores.
A alegada violação foi relatado pela primeira vez em abril depois que um hacker que atende pelo nome de USDoD anunciou em um fórum da web ter acessado um banco de dados que incluía informações de cada pessoa nos EUA, Reino Unido e Canadá. A notícia da alegação foi publicada em várias publicações de segurança cibernética, mas não foi amplamente divulgada na época.
Depois que uma ação coletiva foi movida em 1º de agosto, a alegação de que um vasto acervo de números de Previdência Social pode ter sido exposto na violação ganhou força, sendo repercutida na grande mídia e nas redes sociais.
O processo foi arquivado contra um corretor de dados chamado National Public Data, parte de uma coleção obscura de empresas que coletam, compram, trocam e vendem silenciosamente informações pessoais de pessoas, geralmente sem o conhecimento delas. As informações são frequentemente vendidas a profissionais de marketing ou usadas para ajudar a conduzir verificações de antecedentes.
O processo acusa a empresa de adquirir informações pessoais dos réus sem seu conhecimento e permissão — uma prática comum de corretores de dados — e de não mantê-las seguras de hackers. A National Public Data não respondeu a um pedido de comentário.
Não foi confirmado que o número do Seguro Social de todos os americanos foi vazado. O processo diz que o autor recebeu um alerta em julho de uma empresa de proteção contra roubo de identidade dizendo que seu número do Seguro Social havia vazado como resultado de uma violação de Dados Públicos Nacionais.
A NBC News não viu os dados vazados, e a postagem original do hacker oferecendo-os para venda parece ter sido apagada. No entanto, é comum que hackers criminosos exagerem ou até mesmo inventem abertamente suas façanhas, especialmente se estiverem tentando vender algo.
Pesquisadores que baixaram os dados anteriormente estão céticos. O site de notícias TechCrunch baixou e examinou alguns dos vazamentos em junho e descobriu que, embora algumas informações parecessem legítimas, muitas delas também estavam incorretas, faltavam pessoas e campos de dados e algumas informações sobre pessoas estavam incorretas.
Troy Hunt, diretor regional da Microsoft para a Austrália e operador de Eu fui sacaneadoum enorme banco de dados público que permite que as pessoas verifiquem se suas identidades foram comprometidas em várias violações, também obteve uma grande amostra dos dados. Em um postagem do blog quarta-feiraele detalhou uma bagunça confusa, parte dela aparentemente imprecisa e uma quantidade substancial faltando. Incluía seu endereço de e-mail, mas estava pareado com o nome errado, e atribuía dois aniversários que estavam longe do seu verdadeiro. Tais imprecisões sobre as pessoas tornam as informações corretas mais difíceis de alavancar e usar para propósitos nefastos.
Apesar do escopo e do estado incertos dos dados vazados, a notícia do processo gerou grande interesse na reivindicação do número da Previdência Social.
Especialistas alertam que as notícias devem ser encaradas com uma dose de realidade.
“Provavelmente todos nós já fizemos parte de uma violação e recebemos uma notificação”, disse Amy Nofziger, diretora de suporte a vítimas da AARP, uma organização que defende idosos. “Meu primeiro conselho é não entrar em pânico, porque muito provavelmente suas informações já estavam lá.”
Nofziger disse que os americanos devem presumir que suas informações já estão nas mãos de criminosos, já que violações de dados são muito comuns, e começar a implementar bons hábitos que podem ajudar a detectar qualquer atividade criminosa rapidamente.
Pessoas que estão nervosas de que podem ser vítimas de roubo de identidade podem descobrir rapidamente verificando seus relatórios de crédito. Existem três agências de crédito para americanos: Equifax, Experian e TransUnião.
“Se estiver limpo e você reconhecer tudo lá, coloque um alerta de fraude, que é sempre minha primeira recomendação, porque é mais rápido, mais simples, mais fácil”, disse Nofziger.
De acordo com a Equifax, um alerta de fraude é “um aviso em seu relatório de crédito que alerta os credores de que você é ou pode ser vítima de fraude, incluindo roubo de identidade. Um alerta de fraude pode dificultar que alguém abra contas não autorizadas em seu nome. Ele incentiva ou exige que credores e credores tomem medidas extras para verificar sua identidade, como contatá-lo por telefone, antes de abrir uma nova conta de crédito em seu nome ou fazer alterações em contas existentes.”
Ligar para qualquer um desses três para receber um alerta gratuito de fraude é fácil, e qualquer um deles compartilhará o alerta com os outros dois, disse Nofziger.
Um segundo passo, mais seguro, leva um pouco mais de tempo: ligar para cada um dos três bureaus individualmente e congelar seu crédito com cada um. Geralmente é mais seguro ter o crédito congelado por padrão e então “descongelá-lo” apenas temporariamente quando você faz um novo empréstimo, ela disse, embora essa não seja a primeira escolha de todos.
“Nem todo mundo quer congelar, porque algumas pessoas estão acessando seu crédito e abrindo novos créditos com frequência, e elas não gostam do incômodo disso”, disse Nofziger. “Para mim, vale a pena garantir que seu relatório de crédito esteja seguro.”
Um terceiro passo é garantir que cada conta financeira tenha a segurança de conta mais forte disponível para os clientes. Isso significa garantir que cada conta tenha uma senha que seja única e longo e que a conta tem autenticação de dois fatores habilitado.