في 7 فبراير 2022 ، مبادرة الرياضيات والعلوم الوطنية أرسل (NMSI) إخطارات إلى 191,255،XNUMX شخصًا ، لتنبيههم بحادث أمن البيانات الذي كشف معلومات التعريف الشخصية (PPI).

قبل شرح ما حدث ، أكد الرئيس التنفيذي لشركة NMSI برنارد إيه هاريس جونيور أولاً للمستلمين أنه لا يوجد دليل على إساءة استخدام أي معلومات فيما يتعلق بخرق البيانات وأن المنظمة كانت ترسل الإخطارات بدافع الحذر الشديد.

وفقًا لرسالة هاريس ، في 13 أكتوبر 2021 ، نبه برنامج مكافحة الفيروسات NMSI منظمة نشاط الشبكة "غير المعتاد". كشف التحقيق في النشاط أن جهة فاعلة غير مصرح لها قد تكون قد حصلت على إمكانية الوصول إلى أنظمة معينة بين 23 سبتمبر 2021 و 18 أكتوبر 2021. الأفراد الذين تلقوا رسائل الإخطار تم التعرف عليهم على أنهم يمتلكون معلوماتهم عن أنظمة NMSI المخترقة في وقت تسللها. 

خصصت NMSI خطاب كل مستلم لإظهار عناصر البيانات التي قد يكون الممثل غير المصرح له قد وصل إليها أو حصل عليها. إلى جانب الأسماء والعناوين وأرقام الضمان الاجتماعي يمكن أن تكون عرضة للتنازل.

لم يحدد الإشعار ما إذا كان المتضررون يتألفون من معلمين أو طلاب أو مقاولين أو موظفين.

كيف تقول NMSI أنها تتعامل مع خرق البيانات

NMSI هي منظمة غير ربحية في تكساس تعمل مع المدارس والمؤسسات الأخرى للمساعدة في تحسين أداء الطلاب.

في خطاب إخطار NMSI ، أوضح هاريس أن المنظمة استجابت لخرق البيانات من خلال التحقيق ، وتقييم أمن الأنظمة المختلفة ، وتنبيه الأفراد الذين يمكن اختراق بياناتهم.

أفاد هاريس أن المنظمة قامت أيضًا بإعادة تعيين كلمات مرور الحساب وتحليل الملفات والمجلدات التي كان من الممكن الوصول إليها للتحقق من وجود أي معلومات شخصية.

أخطرت NMSI سلطات إنفاذ القانون الفيدرالية بالخرق وتدعي أنها اتخذت خطوات لتقليل مخاطر هذا النوع من الانتهاك الذي يحدث في المستقبل.

القليل جدا ، بعد فوات الأوان

على الرغم من أي تدابير بعد الحادث اتخذتها NMSI أو تواصل تنفيذها ، إلا أنها ببساطة قليلة جدًا ومتأخرة جدًا. عندما يكشف خرق أمني عن معلومات تحديد الهوية الشخصية ، يزداد خطر سرقة الهوية بشكل كبير. ترتبط العواقب الضارة لهذه السرقة ارتباطًا مباشرًا بحقيقة أنه بحلول الوقت الذي يصبح فيه الضحية على علم بالجريمة (في بعض الأحيان لسنوات) ، فإن إساءة استخدام هويته قد أثرت سلبًا على تصنيفها الائتماني.  

• مكتب محاسبة الحكومة الأمريكية التقارير التي يحتفظ بها المجرمون أحيانًا لسرقة البيانات لمدة عام أو أكثر قبل استخدامها لارتكاب سرقة الهوية. بعد بيع البيانات أو استخدامها عبر الإنترنت ، قد يستمر استخدامها الاحتيالي إلى أجل غير مسمى ، وغالبًا ما يتم تداولها في "السوق السوداء الإلكترونية" لعدة سنوات.

وهذا يجعل من الصعب تحديد النطاق الكامل للإضرار بسجل الائتمان والسمعة المالية لأي فرد تعرض معلوماته الشخصية للخطر في خرق البيانات. ضع في اعتبارك ، على سبيل المثال ، عندما تمكن المتسللون من الوصول إلى كلمات مرور مستخدمي LinkedIn في عام 2012. مرت أربع سنوات قبل أن ينشر المتسللون مجموعات البريد الإلكتروني وكلمات المرور المسروقة.  

من المحتمل جدًا ، أن الأفراد الذين تم الوصول إلى معلومات تحديد الهوية الشخصية الخاصة بهم من خرق بيانات NMSI سيواجهون تأخيرًا مماثلاً ، مما يؤدي إلى التعتيم على الجريمة وتأثيرها على الضحايا. بمجرد أن ينحسر الدخان ، سيتحمل هؤلاء الأشخاص الإزعاج الكبير والتكلفة الكبيرة لإصلاح الائتمان التالف والأسماء الملطخة. وفق اكسبريان، يقضي ضحايا سرقة الهوية ، في المتوسط ​​، ستة أشهر وحوالي 200 ساعة من العمل لاستعادة هوياتهم. في الحالات المعقدة حيث يأخذ المجرمون قروضًا ويفتحون حسابات مالية ويقدمون ضرائب ويتلقون المبالغ المستردة أو يستخدمون الهويات المسروقة للحصول على الخدمات الطبية ، قد تستغرق عملية استعادة الهويات ووقف الاحتيال وعكس الأضرار سنوات.

وفي الوقت نفسه ، إنه شعور غير مريح بمعرفة أن معلومات تحديد الهوية الشخصية باقية في الفضاء الإلكتروني - لا يعرف متى أو كيف سيتم استخدامها ، أو درجة المعاناة التي ستسببها إساءة استخدامها.  

فهم سرقة الهوية

مكتب إحصاءات العدل ' المسح الوطني لضحايا الجريمة يعرّف سرقة الهوية على أنها تتضمن ثلاثة أنواع عامة من الحوادث:

1. استخدام غير مصرح به أو محاولة استخدام حساب موجود
2. الاستخدام غير المصرح به أو محاولة استخدام المعلومات الشخصية لفتح حساب جديد
3. إساءة استخدام المعلومات الشخصية لغرض احتيالي

وفقًا لـ NCVS ' ملحق سرقة الهوية (ITS) ، تسعة بالمائة من الأفراد الذين يبلغون من العمر 16 عامًا أو أكثر كانوا ضحايا لسرقة الهوية في عام 2018 ، وهو ما يمثل أحدث مجموعة بيانات لهذه الجريمة. من بين هؤلاء الأفراد ، تعرض 90٪ لسوء استخدام أو محاولة إساءة استخدام بطاقة ائتمان أو حساب مصرفي واحد على الأقل. بلغ إجمالي الخسائر التي تغطي جميع حوادث سرقة الهوية في ذلك العام 15.1 مليار دولار.

يمكن للمجرمين استخدام المعلومات التي تم الوصول إليها لتحمل هوية أي شخص تم الحصول على PPI الخاص به. بحسب ال تقرير لجنة التجارة الفيدرالية (FTC) لعام 2021، يمكن أن تؤدي هذه الانتهاكات إلى سرقة الهوية الموجهة نحو مجموعة واسعة من النتائج.

المصدر لجنة التجارة الفيدرالية (FTC)

لتصور الاتجاه المتزايد وتأثير سرقة الهوية ، نشرت FTC ما يلي مخططا بيانيا للمعلومات في يناير 2020 وتم تحديث البيانات في فبراير 2022. يعرض الرسم البيانات المأخوذة من تقارير المستهلكين من الأفراد الذين اتصلوا بمركز اتصالات FTC أو أبلغوا عن حوادث سرقة الهوية عبر الإنترنت:

مراجعة لمركز أبحاث سرقة الهوية (ITRC)  تقرير خرق البيانات السنوي يوضح أن انتشار هذه الجريمة استمر في التفاقم في عام 2021. وكشف مركز تكنولوجيا المعلومات والاتصالات أن عام 2021 شهد عددًا قياسيًا من حالات الاختراق في البيانات - 1,862 في المجموع - وهو ما يمثل زيادة بنسبة 68 في المائة عن عام 2020. كما يتفوق الرقم أيضًا على الرقم القياسي السابق البالغ 1,506 حالة بمقدار 23 نسبه مئويه. وفقًا لتقرير ITRC ، أثرت انتهاكات البيانات هذه على 294 مليون شخص.

ما هو PII؟

يتكون PII من أي معلومات يمكن استخدامها لاستنتاج هوية الفرد. ال وزارة العمل الأمريكية يسرد (DOL) عدة أنواع من المعلومات التي تطابق هذا التعريف. بعض أشكال PII تحدد هوية الشخص بشكل مباشر. يشملوا:

1. الاسم
2. العنوان
3. رقم الحماية الاجتماعية
4. أرقام تعريف أو رموز أخرى
5. رقم الهاتف
6. البريد الإلكتروني

تتضمن الأشكال الأخرى لمعلومات تحديد الهوية الشخصية المعلومات التي قد تستخدمها الوكالة لتحديد هوية الشخص عند استخدامها بالاقتران مع معلومات أخرى. هذه الواصفات هي عناصر البيانات مثل:

1. سباق
2. النوع
3. مؤشر جغرافي
4. تاريخ الميلاد

يشمل DOL أيضًا كمعلومات تحديد الهوية الشخصية أي وسائط إلكترونية أو ورقية أو غيرها من الوسائط التي تسمح بالاتصال الجسدي أو عبر الإنترنت لشخص ما.

لماذا معلومات التعريف الشخصية ذات قيمة كبيرة

لسنوات ، لاحظ العلماء القيمة المتزايدة لمعلومات التعريف الشخصية. في عام 2009 ، نشرت مجلة ريتشموند للقانون والتكنولوجيا ورقة بحثية ، اتجاه خصوصية الشركة: "قيمة" معلومات التعريف الشخصية ("PII") تساوي "قيمة" الأصول المالية

لاحظ المؤلفون أن اعتماد الشركات الأمريكية المتزايد على الاستخدام الإلكتروني لمعلومات تحديد الهوية الشخصية قد حول هذه المعلومات إلى "سلعة تتاجر بها الشركات وتبيعها.

وخلص مؤلفو الورقة إلى أن "معلومات التعريف الشخصية ، التي تحصل عليها الشركات بتكلفة قليلة ، لها قيمة قابلة للقياس تصل بسرعة إلى مستوى مماثل لقيمة الأصول المالية التقليدية".

سابق لجنة التجارة الاتحادية وصف مفوض ("FTC") ، باميلا جونز هاربور ، البيانات بأنها عملة ، مع مجموعات بيانات أكبر تقدم أكبر احتمالية للربح. وبكلمات هاربور:

يجب معاملة المعلومات الحساسة والمميزة للهوية الشخصية للمستهلك مثل معاملة البنوك لأموال المستهلك. تحتفظ البنوك بأموالنا في حساب توفير أو حساب جاري ... لكن الأموال ملكنا…. لدينا بعض المطالبات وحقوق التوقع المتعلقة بالمال ، على الرغم من أنه ليس في أيدينا ماديًا وأن كيانًا آخر "يمتلكه".

لاحظ هاربور كذلك أن المستهلكين يميلون إلى عدم فهم الكميات الهائلة وأنواع المعلومات التي تجمعها الشركات ، ولا يفهمون قيمة هذه البيانات.

تمنح بعض الشركات العملاء خيار بيع معلومات تحديد الهوية الشخصية الخاصة بهم للمعلنين والجهات الخارجية الأخرى. هذه الشفافية الجديدة لمثل هذه المعاملات خلقت بدورها سوقًا جديدة لبيع وشراء البيانات الشخصية.

عندما وكالة تقارير الائتمان Equifax تم اختراقه في عام 2017 ، مجلة PC نشر مقالًا لتثقيف القراء حول قيمة هويتهم على شبكة الويب المظلمة. وفقًا للمقال ، يمكن أن تتراوح أسعار أرقام الضمان الاجتماعي وتواريخ الميلاد والأسماء الكاملة للأشخاص الذين حصلوا على درجات ائتمانية عالية من 60 دولارًا إلى 80 دولارًا في السوق السوداء الرقمية. في الآونة الأخيرة ، تم إجراء بحث بواسطة فريق الأمن السيبراني مباحث السلامة كشف قيمة أنواع مميزة من المعلومات المستخدمة في إنشاء هوية جديدة:

1. جواز سفر: من $ 710
2. الهوية / رخصة القيادة: من $ 200
3. رقم / بطاقة الضمان الاجتماعي: $ $-2 5
4. شهادة الميلاد: من $ 240

مع ظهور العملة المشفرة مثل Bitcoin ، يمكن أن يتعذر تعقب عمليات الشراء ، مما يجعلها عملة مفضلة للمجرمين المنخرطين في هذه المعاملات.

على الرغم من أن مجلة PC اعترف مؤلفو المقالات بأن مصدر البيانات المسروقة لم يكن مؤكدًا دائمًا ، أخبر محلل استخبارات المراسلين أن المعلومات تأتي عادةً من جهود القرصنة على الكمبيوتر ، حيث تعد المدارس والمستشفيات المصادر المفضلة لمجرمي الإنترنت ، نظرًا لحجم معلومات الهوية لهذه الأنواع من المنظمات يجمع.

اللجوء القانوني والنتائج

على الرغم من أن المدعين الفيدراليين يعملون على مقاضاة حالات سرقة الهوية والاحتيال بمساعدة وكالات التحقيق الفيدرالية ( مكتب التحقيقات الفيدرالي ، و الخدمة السرية للولايات المتحدة، و ال الولايات المتحدة خدمة التفتيش البريدي، على سبيل المثال) ، يمكن للضحايا في بعض الأحيان استرداد خسائرهم المالية من خلال الدعاوى المدنية.  

غالبًا ما تتخذ هذه الإجراءات شكل دعوى قضائية جماعية ، حيث يلاحق الأفراد الذين تم الوصول إلى معلومات التعريف الشخصية الخاصة بهم وإساءة استخدامها تعويضات من الكيان الذي يضم البيانات الشخصية.

في حالة دعوى قضائية جماعية في NMSI ، يمكن لمحامي المدعين أن يجادلوا بأن معلومات التعريف الشخصية للمدعين قد تعرضت لسوء الاستخدام نتيجة لفشل NMSI في تنفيذ والحفاظ على إجراءات وممارسات أمنية معقولة مناسبة لطبيعة المعلومات لحماية المدعي. و PII لأعضاء الفصل. يمكن أن يجادل المحامون أيضًا بأن NMSI فشلت في تنفيذ إجراءات أمنية معقولة لمنع هجوم على خوادمها من قبل المتسللين ولمنع الوصول غير المصرح به لمعلومات التعريف الشخصية الخاصة بالمدعي وأعضاء الفصل نتيجة لهذا الهجوم.

في مثل هذا الإجراء ، يمكن لضحايا سرقة الهوية من خرق بيانات NSMI السعي للحصول على تعويضات فعلية ، والتعويض الزجري ، بما في ذلك الإنصاف الزجري العام ، والإعفاء الإيضاحي ، وغير ذلك من أشكال الإغاثة التي تراها المحكمة مناسبة.

ماذا تفعل إذا أدى خرق NSMI إلى كشف بياناتك

عندما يتم الكشف عن معلومات تحديد الهوية الشخصية الخاصة بك من خلال خرق البيانات ، فإن ذلك يعرضك لخطر كبير يتمثل في سرقة الهوية - والتي يمكن أن تلحق الضرر بائتمانك واسمك وتتطلب جهدًا كبيرًا لإصلاحها.

إذا أرسل لك NMSI - أو أي كيان آخر - خطابًا يخطرك بأن نظامهم قد تعرض للانتهاك وأن معلومات تحديد الهوية الشخصية الخاصة بك مكشوفة ، ففكر في اللجوء إلى المشاركة في دعوى جماعية.