在华盛顿州数据库被入侵后,数十万名有执照的专业人士的个人信息可能已经出现在黑客使用的暗网数据交易市场中。
州政府官员说,州政府调查人员尚未说明社会安全号码和其他个人数据是否实际上是从州执照部使用的25万多名专业和商业执照持有者的数据库中窃取的。该数据库由旧金山的一家软件公司Salesforce维护。
但几位之前在华盛顿拥有营业执照的人最近获悉,他们的个人信息于1月24日在暗网上被检测到,暗网是万维网的一个匿名部分,可通过特殊软件访问。被盗的个人数据经常在那里交易,用于冒名顶替的欺诈和其他非法活动。
机构官员周五表示,1月24日是华盛顿州网络安全调查人员在暗网上发现有关“访问”执照部个人数据的“谈话”的同一天。当天,该机构关闭了其名为POLARIS的在线许可门户网站,此后一直处于离线状态。
西雅图地区持牌房地产经纪人帕姆·休斯(Pam Hughes)说,她的银行于1月28日通知她,包括她的社会安全号码在内的个人数据于1月24日出现在暗网上。这只是她和她丈夫近年来收到的近十次数据警报中的最近一次。“如果它没有引起这么多的头痛,它也会很有趣。”休斯说。
“当我看到[1月24日]这个日期时,这实际上是让我脑子里的警钟响起的原因。”佛罗里达州居民迈克·伯林盖姆(Mike Burlingame)说,他大约15年前曾在华盛顿州为一家小型电信公司颁发执照,他在阅读了关于该漏洞的报道后联系了《西雅图时报》。
伯林格姆说,他在2月1日接到他的信用监测服务的通知,他的社会安全号码和其他个人信息于1月24日在暗网上被发现。伯林格姆的妻子的个人资料也被曝光,她也曾在该公司的执照上登记。
(周二,执照部官员表示,伯林格姆不是华盛顿的持牌企业主,但可能通过其他机构获得了营业执照。)
该中心的首席运营官詹姆斯·李说,另一份关于执照部数据出现在暗网上的报告是由第三个人向身份盗窃资源中心提出的,该中心是一家总部位于加利福尼亚州的非营利组织,旨在帮助身份盗窃受害者。
该怎么办,如果您遭遇数据泄露或身份盗窃:
虽然没有万无一失的方法可以确保您的信息安全,但您可以采取一些措施来保护自己免遭身份盗用。
身份盗窃和数据泄露方面的专家李说:“虽然这些在暗网上的个人数据并不是执照部数据被大规模盗窃的决定性证据,但这无疑是数据被泄露——被删除——现在可以被滥用的有力指标。”
执照部2月3日公布的潜在漏洞可能影响了23个专业和商业类别的个人和公司的个人资料,范围包括拍卖商、房地产经纪人和殡葬业者。
执照部官员说,州网络安全办公室、州检察长办公室和第三方网络安全公司CrowdStrike仍在调查这一潜在的漏洞。执照部官员周一说,目前还不清楚持证人的个人数据是否真的被盗,或者只是暴露在可能的盗窃中。
该机构也不确切知道有多少被持证人可能受到影响,并且尚未确定潜在的漏洞是发生在该机构内部、数据库中还是数据系统的其他部分。
执照部发言人Christine Anthony周一说:“在调查完成之前,我们不会全面了解情况。”
Salesforce的一位官员表示,该公司没有迹象表明他们的数据库已被入侵,但拒绝提供更多细节。
“目前,我们没有证据表明Salesforce平台存在固有漏洞,”发言人Allen Tsai在通过电子邮件回复问题时表示。
2020年底,州审计署使用的软件供应商遭遇数据泄露,可能导致文件被未授权用户访问。
金融服务咨询公司Aite Group的高级分析师兼欺诈、数据安全和洗钱问题专家Trace Fooshee说,由于近年来有许多数据泄露事件,调查人员往往很难将暗网中的数据与某一特定泄露事件联系起来。
“那里有很多很多暴露的[个人信息]来源。”Fooshee说,“它们一直在发生。”
事实上,伯林格姆本人也被卷入了T-Mobile的数据泄露事件,据说当时黑客获取了与近5000万人有关的个人信息。
但和李一样,Fooshee表示,1月24日的事件的巧合可能是值得注意的。“鉴于这种情况,可能……最近的这次漏洞可能是[暗网]信息的来源。”他说。
伯林格姆收到的2月1日通知显示,1月24日,信用监测机构发现了一条新的在线记录,其中包含他的姓名、出生日期和社会安全号码、他以前的华盛顿州邮政编码、华盛顿驾照号码和当前的电话号码。
伯林格姆说,他对在暗网上出现的数据的确切年龄感到困惑。
他说,他在华盛顿州的公司在2008年左右解散了,当时所有权被转移到另一家公司。他说,2月1日他的信用监测服务通知中提到的数据似乎来自“他们仍然会在他们的数据库中拥有的非活动记录”。“我看到的数据是为一个不活跃的……有15年历史的公司提供的,这一事实令人非常担忧。”
周五,执照部发言人安东尼说,该部门的系统中大约有25.7万个活跃的执照,但也表示“在进行调查时可能会发现更多记录。”周二,该机构发言人内森·奥尔森(Nathan Olson)表示,许可系统还包含“营业执照已过期的个人”的记录,但没有确切数字。
安东尼说,目前还不清楚调查人员需要多长时间来确定数据库中的个人数据是否被盗以及有多少被盗。安东尼说,如果数据被盗,执照部可能会向潜在受害者提供信用监测服务。
相关专业,受潜在数据泄露影响的企业,从美容师到法庭记者都有。
与此同时,一些有执照的专业人员正试图确定数据泄露可能带来的损害。
社会安全号码和地址等信息可能被用来进行欺诈,例如提出假的失业申请,就像2020年春天在华盛顿发生的那样。
但华盛顿法律调查员协会会长尼尔哈里森说,一些有执照的职业可能在执照部数据库中还有其他同样敏感的信息。
“我们的许多成员和获得许可的[私人调查员]不仅是前执法部门,而且他们也是前联邦执法部门和‘字母’机构人员,”哈里森指的是联邦调查局等机构。“所以你有很大的潜力……可能给个人造成重大问题。”
执照部已经开设了一个呼叫中心来处理有关该事件的问题:855-568-2052。