Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

En août 2024, l'obscur courtier en données de vérification d'antécédents National Public Data — exploité par la société floridienne Jerico Pictures, Inc. — a confirmé qu'une copie volée de sa base maîtresse avait été divulguée. Cette base contenait environ 2,9 milliards d'enregistrements comprenant noms, numéros de sécurité sociale, dates de naissance, ainsi qu'adresses actuelles et passées, en grande partie agrégés à l'insu et sans le consentement des personnes décrites. Elle est devenue l'une des plus vastes et des plus largement diffusées expositions de numéros de sécurité sociale américains jamais recensées.

Ce qu'il s'est passé

National Public Data collectait et agrégeait des informations personnelles à partir de registres publics, de dossiers judiciaires et de sources commerciales, puis les revendait à des sites de vérification d'antécédents, des enquêteurs et d'autres acheteurs de données. Selon la déclaration de l'entreprise elle-même, un acteur malveillant a obtenu l'accès à ses systèmes dès décembre 2023.

Le 8 avril 2024, un acteur malveillant utilisant le pseudonyme USDoD a mis en vente un jeu de données intitulé « National Public Data » sur le forum cybercriminel Breached, revendiquant 2,9 milliards d'enregistrements et réclamant 3,5 millions de dollars. Au cours des mois suivants, des portions ont circulé entre criminels, et en août 2024 une copie quasi complète — environ 2,7 milliards de lignes dans un export texte de plusieurs gigaoctets — a été publiée gratuitement, rendant les enregistrements accessibles à tous.

Conséquences

Le corpus divulgué contenait environ 2,9 milliards d'enregistrements, bien que le nombre de personnes distinctes soit nettement inférieur car le fichier comportait de nombreuses entrées d'adresses dupliquées et historiques. Une analyse indépendante (Troy Hunt) a relevé d'importants volumes d'enregistrements et confirmé de vrais numéros de sécurité sociale, tout en avertissant que la formule des « 3 milliards de personnes » était trompeuse.
Les champs exposés comprenaient noms, numéros de sécurité sociale, dates de naissance et adresses actuelles et antérieures ; certains enregistrements contenaient également des numéros de téléphone.
Les données ayant été collectées et non fournies volontairement, de nombreuses personnes concernées n'avaient jamais entendu parler de National Public Data, ce qui a compliqué la notification et la remédiation.
Plus d'une douzaine d'actions collectives et de nombreuses enquêtes de procureurs généraux d'États ont suivi.

Suites

Confrontée à une responsabilité potentielle pour la surveillance du crédit de centaines de millions de personnes, Jerico Pictures, Inc. s'est placée sous la protection du chapitre 11 (faillite) le 2 octobre 2024, et National Public Data a cessé ses activités avant la fin de l'année. L'entreprise n'a jamais versé la rançon annoncée ; au moment où elle a confirmé la fuite, les données étaient déjà publiques.

Pourquoi c'est important

La fuite National Public Data est le cas emblématique du risque systémique des courtiers en données non régulés. Les identifiants les plus sensibles de la vie américaine — des numéros de sécurité sociale qui ne peuvent être réémis à volonté — ont été agrégés par une entreprise avec laquelle la plupart des victimes n'avaient jamais interagi, mal sécurisés, volés, puis finalement distribués gratuitement. L'affaire a intensifié le débat politique américain sur la supervision des courtiers en données (notamment la proposition réglementaire du CFPB) et a souligné que l'exposition d'un individu ne dépend plus de sa propre hygiène de sécurité, mais de chaque tiers ayant discrètement collecté ses dossiers.

Chronologie

1 décembre 2023

Un acteur malveillant obtient un premier accès non autorisé aux systèmes de National Public Data, selon la déclaration ultérieure de l'entreprise.

8 avril 2024

L'acteur malveillant « USDoD » met en vente une base intitulée « National Public Data » sur le forum cybercriminel Breached, revendiquant 2,9 milliards d'enregistrements et réclamant 3,5 millions de dollars.

1 juin 2024

Des actions collectives sont engagées après que des chercheurs en sécurité commencent à confirmer l'authenticité d'échantillons ; les données sont citées dans une plainte déposée en Floride.

1 août 2024

Une copie quasi complète de la base (environ 2,7 milliards de lignes) est diffusée gratuitement sur des forums cybercriminels, rendant les enregistrements largement accessibles.

16 août 2024

National Public Data confirme publiquement la fuite et publie un avis reconnaissant l'exposition de noms, numéros de sécurité sociale, adresses et dates de naissance.

2 octobre 2024

Jerico Pictures, Inc., la société floridienne exploitant National Public Data, se place sous la protection du chapitre 11 (faillite), invoquant sa responsabilité pour la surveillance du crédit de centaines de millions de personnes.

1 décembre 2024

National Public Data cesse ses activités ; son site web disparaît tandis que se poursuivent les litiges et les enquêtes des procureurs généraux des États.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/2024_National_Public_Data_breach

prnewswire.comhttps://www.prnewswire.com/news-releases/privacy-alert-national-public-data-under-investigation-for-data-breach-of-over-2-9-billion-records-302220370.html

support.microsoft.comhttps://support.microsoft.com/en-us/defender/national-public-data-breach-what-you-need-to-know

troyhunt.comhttps://www.troyhunt.com/inside-the-3-billion-people-national-public-data-breach/

Incidents liés

Fuite de donnéesRésolu3 avril 2021

Fuite de 533 M d'enregistrements Facebook collectés par scraping

Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.

Victim: Facebook
Loss: $290.0M
Records: 533.0M

Fuite de donnéesRançon payée1 mai 2026

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim: Instructure (Canvas LMS)
Loss: $10.0M
Records: 275.0M

RançongicielRançon payée18 juin 2024

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim: CDK Global
Loss: $1.00B

Fuite de donnéesContenu8 août 2022

Compromission en deux temps de LastPass et vol des coffres clients (2022)

Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

Victim: LastPass