这些数据总计数十亿条记录，包括美国、英国和加拿大公民的姓名、社会安全号码（SSN）、实体地址、电子邮件地址和电话号码。这类数据通常是数据经纪人买卖的对象，现在这些信息已通过暗网公开，任何人都可以下载并用于欺诈活动。

早在今年4月，网络犯罪论坛上的一群黑客使用“USDoD”的化名，声称以350万美元的价格出售一个277GB的档案文件，其中包含2.9亿条记录，涉及美国、加拿大和英国公民的个人信息，包括他们的姓名、电话、社会安全号码，以及过去30年的地址记录和亲属信息。这些个人信息是从一家名为National Public Data（NPD）的公司盗取的。

NPD是一家位于科勒尔斯普林斯的小型信息经纪公司，主要通过API向其他公司提供背景调查等服务。据称，这些数据是在2019年至2024年间被NPD收集的，可能来自地方、州和联邦级别的公共记录。一个化名为SXUL的网络窃贼窃取了这些信息并传给USDoD进行出售，这引发了本月初对NPD的诉讼。

部分被盗信息在暗网上零星泄露，但上周，一位化名Fenice的人将声称包含27亿条记录的数据库上传到网络，任何人只要知道途径便可免费下载。值得注意的是，这个数据库包含的是数十亿行数据，而非数十亿个人记录；其中存在大量不准确的数据，包括死者的信息和重复记录。

在数周沉默后，随着无数人开始收到隐私和反欺诈服务的警报，NPD以含糊的措辞证实其数据确实遭到入侵并被共享。NPD表示，入侵事件发生在去年12月，数据泄露从今年4月持续至今。据USDoD称，这些数据在网络犯罪世界中流通了一段时间后，最终被公开出售并泄露。NPD在本周的声明中表示：“似乎发生了涉及某些个人信息的数据安全事件。”

这家背景调查公司还补充道：“据信事件涉及2023年12月末一个试图入侵数据的第三方恶意行为者，并且在2024年4月和夏季期间可能发生了部分数据泄露。我们进行了调查，并获得了进一步的信息。”

NPD还提到，被泄露的信息可能包括姓名、电子邮件地址、电话号码、社会安全号码以及邮寄地址。公司正与执法部门和政府官员合作处理这一盗窃事件，并承诺加强其IT安全措施：“我们还实施了额外的安全措施，努力防止此类事件的再次发生，并保护我们的系统。”

NPD建议人们在信用报告中设置欺诈警报，以便及时检测和阻止数据的滥用。安全研究人员Troy Hunt指出，泄露的文件中包含的社会安全号码不包括电子邮件地址，因此如果有人收到其电子邮件地址出现在泄露的NPD集合中的警报，不必假设他们的社会安全号码也在其中。

此外，他还发现该档案中包含刑事记录，并提到USDoD在5月通过暗网泄露了7000万条此类记录。根据Atlas Data Privacy的统计数据，这次泄露中包含2.72亿条独特的社会安全号码，大部分记录包含姓名和地址，约四分之一的记录还附有电话号码。泄露数据中，平均年龄为70岁。

数据库主要涵盖居住在美国的人，部分英国和加拿大公民也因此受影响。人们应警惕网络犯罪分子利用这些信息进行网络钓鱼攻击。此外，企业和机构使用姓名、地址和社会安全号码作为识别信息的做法也需重新考虑，特别是在设计系统时应避免使用这些易受攻击的数据作为输入信息。

最后，有消息表明，使用数据选择退出服务以避免信息进入NPD等数据库的用户，其信息并未出现在泄露的记录中，因此这些服务在某种程度上是有效的。