小心！全美的社会安全号码都被黑客盗取！？ 受害者一天损失超1万美元

一个臭名昭著的黑客组织声称从一家大型数据经纪商那里窃取了大量敏感个人信息！消息一出，公众大为震惊！更为要命的是，失窃的大部分信息免费发布在一个被盗个人数据的在线市场上。

敏感数据

美国公共信息研究小组消费者监督机构负责人称，可以大胆假设所有美国人的全部档案都可能被盗，那么这肯定比之前的遭遇黑客攻击导致个人信息泄露事件更令人担忧。

据悉，此次泄露的数据包括社保号码和其他敏感数据（包括一些已故近二十年的亲属信息），可能引发一系列身份盗窃、欺诈和其他犯罪行为，影响范围可能超乎预期。

根据在佛罗里达州劳德代尔堡美国地方法院提起的集体诉讼，国家公共数据公司雇主、私人调查员、人事代理机构和其他进行背景调查的机构提供个人信息，黑客窃取信息的来源也正是该公司，窃取的个人记录涉及29亿条。一名网络安全专家在X上发文称，该组织在一个论坛上提出以350万美元的价格出售这些数据，信息来源包含了美国、欧洲等多个国家的个人记录。

目前，国防部人员正在对被盗数据进行确认，可以初步断定的是，27亿失窃记录中，每条都包括个人的全名、地址、出生日期、社会安全号码和电话号码，以及别名和出生日期等重要信息。

面临威胁

泄露的数据包括两个文本文件，总计 277GB，包含近 27 亿条纯文本记录，而不是美国国防部最初共享的 29 亿条记录。如果得到证实，从受影响人数来看，此次泄密事件可能是有史以来最大的泄密事件之一。2013 年，雅虎泄露了估计30亿人。

黑客的窃取数据中似乎遗漏了几个关键信息。一个是电子邮件地址，许多人用它来登录服务。另一个是驾照或护照照片，一些政府机构依靠它们来验证身份。

但即便如此，不法分子依旧可以利用泄露的信息做“各种各样的事情”，最令人担忧的可能是试图接管某人的账户——包括与银行、投资、保险单和电子邮件相关的账户。同时，利用失窃的姓名、社会安全号码、出生日期和邮寄地址，欺诈者可能会以失窃者本人的名义创建虚假账户，或试图说服某人重置现有账户的密码。

安全专家表示，对于惯于利用个人信息诈骗的人来说，有了这些失窃信息，可以制造各种混乱，犯下各种罪行，窃取各种金钱，可能性真的是无穷无尽。

应对之策

今年6月，洛杉矶公共卫生机构也曾遭遇网络钓鱼攻击，20多万居民个人信息遭泄露。

据一家对虚拟专用网络服务进行评级的网站VPNRanks 估计，每天有500万人通过匿名TOR（The Onion Router）浏览器访问暗网，毫无疑问，其中有一部分人会做坏事。与之相对应的是，人们的敏感信息几乎肯定隐藏在互联网的黑暗角落，而且有很多人能够找到这些信息。

专家建议，如果个人怀疑自己的社保号或其他重要身份信息被泄露，冻结Experian、Equifax和TransUnion信用档案的办法将是可行的。这项操作将是免费的，并且可以有效防止犯罪分子以自己的名义贷款、申请信用卡和开设金融账户。需要注意的是，如果你正在获取或申请需要信用检查的东西，你需要暂时解除冻结。具体操作需与各信用机构单独联系，任何声称来自信用机构的未经请求的电子邮件或短信都是骗子，他们试图欺骗你泄露敏感的个人信息。

为了防止身份被盗，还可以注册一项服务来监控个人的账户和个人信息在暗网上的曝光。如果个人的数据在黑客入侵中暴露，被入侵网络的公司通常会免费提供其中一项服务，为期一年或更长时间，唯一不足的是，这些项目是收费的。

针对每项金融服务都设置不同的强密码并定期更换也十分有用。密码管理器应用程序提供了一种简单的方法来创建和跟踪密码，方法是将密码存储在云中，用户需要做的是记住一个主密码，而不是几十个冗长的密码。类似的服务既可以免费使用（例如 Apple 的 iCloud Keychain），也可以付费使用。

除此之外，注册双重身份验证非常重要，这在登录名和密码之上增加了另一层安全屏障。还应妥善处理发送或链接到手机的东西，例如短信；更安全的方法是使用身份验证器应用程序，即使电话号码被诈骗者劫持，它也能保证信息安全。

永不这样

通过SIM卡交换和端口转移欺诈等手段拦截个人的电话号码，也是诈骗者惯用的伎俩，身份失窃者可能遭遇更严重的损失。

为此，AT&T允许个人创建密码来限制对帐户的访问；T-Mobile提供可选保护，以防止个人的电话号码被切换到新设备，而Verizon会通过关闭新设备和现有设备来自动阻止SIM卡交换，直到帐户持有人使用现有设备进行权衡是否真的需要更换SIM卡。

个人主动泄露敏感信息，也是导致个人数据失窃的主因。常见伎俩是冒充银行、雇主、电话公司或与自己有业务往来的其他服务提供商，通过短信或电子邮件实施诱骗。通常，银行会告诉客户，绝不会主动询问个人账户的相关信息，然而，诈骗者却会选择“背道而驰”，冒充银行工作人员，诱骗受害者提供他们的账号、登录名和密码。

网络安全专家表示，人们甚至可能会收到一封看似来自国家公共数据公司的官方电子邮件，表示愿意帮助他们处理所报告的个人信息失窃事件。但这绝不可能是官方行为，最有可能的就是一些心怀叵测之人，在试图盗窃个人信息。

一个已经被事实反复证明的好经验则是永远不要点击未知链接或接听来路不明的电话。如果该消息警告帐户存在欺诈行为，而你处于安全原因想核实对方信息或来电的真实性，请查找该公司欺诈部门的电话号码（在借记卡和信用卡背面）并致电寻求指导。

“这些坏人就是靠这个谋生的，”安全专家说，骗子可能会发出数万个查询，但只收到一个回复，诈骗成功一次，就能获得1万美元，这是相当不错的投资回报，这也是他们的动机。

ref：

https://www.latimes.com/business/story/2024-08-13/hacker-claims-theft-of-every-american-social-security-number

https://news.bloomberglaw.com/privacy-and-data-security/background-check-data-of-3-billion-stolen-in-breach-suit-says

https://www.bleepingcomputer.com/news/security/hackers-leak-27-billion-data-records-with-social-security-numbers/?utm_campaign=Illicit%20Edge%20Daily&utm_medium=email&_hsenc=p2ANqtz-_qxXBz21fqqsrpHy4AgOniD8BKRxoNBFE4itU1-r3UfRd0QXDlcn1LAQR2-ZeVWmNNv_FEhlgXM2cyScAwoQBfReHuHw&_hsmi=319653925&utm_content=319653925&utm_source=hs_email