خرق مزعوم لبيانات 2.9 مليار سجل يثير هستيريا إعلامية وإجراءات قانونية ضد البيانات العامة الوطنية

لقد أشعلت الشائعات الأخيرة حول خرق هائل للبيانات يتعلق بشركة National Public Data (NPD)، وهي خدمة بارزة للتحقق من الخلفية، وسائل الإعلام وأثارت دعاوى قضائية متعددة. وعلى الرغم من الاهتمام الواسع النطاق، فإن الحقيقة وراء الخرق المزعوم لا تزال محاطة بالشكوك، مع وجود القليل من الأدلة الملموسة لإثبات الادعاءات.

تغريدة أشعلت عاصفة من الغضب

ظهرت أولى الهمسات حول خرق محتمل في 8 أبريل 2024، عندما نشر مستخدم يُدعى HackManac على X (تويتر سابقًا) عن 2.9 مليار سجل مذهل تم استخراجها من قواعد بيانات NPD. وفقًا للمنشور، فإن البيانات، التي تتضمن سجلات لمواطني الولايات المتحدة وكندا والمملكة المتحدة، كانت معروضة للبيع من قبل جهة تهديد تُعرف باسم USDoD مقابل 3.5 مليون دولار. وعلى الرغم من خطورة الادعاء، تجاهلت وسائل الإعلام الرئيسية المنشور إلى حد كبير، ولم تصدر NPD ردًا.

تبع هذا المنشور الأول منشور آخر في الثاني من يونيو 2024، من مجموعة vx-underground، وهي مجتمع معروف للأمن السيبراني. زعموا أنهم راجعوا عينة من البيانات وأكدوا صحتها. ومرة أخرى، التزمت وسائل الإعلام وNPD الصمت.

التداعيات القانونية مع بدء الدعاوى القضائية الجماعية

وقد اتخذ الموقف منعطفًا دراماتيكيًا في الأول من أغسطس 2024، عندما رفع كريستوفر هوفمان دعوى قضائية جماعية ضد NPD. وزعم هوفمان أن معلوماته الشخصية التي يمكن التعرف عليها (PII) قد تعرضت للخطر في الاختراق، مستشهدًا بإشعار من خدمة حماية سرقة الهوية الخاصة به. ولم تقدم هذه الدعوى القضائية، إلى جانب ثلاث دعاوى أخرى رفعها ضحايا مزعومون، دليلاً ملموسًا يربط البيانات المسربة مباشرة بـ NPD.

إن دعوى هوفمان، التي تستخدم منشور vx-underground كدليل أساسي، مليئة بالتناقضات. على سبيل المثال، تنسب الدعوى في البداية الاختراق إلى وزارة الدفاع الأمريكية، لكن التصحيحات اللاحقة أشارت إلى أن جهة تهديد مختلفة، تُعرف باسم SXUL، ربما كانت مسؤولة. وعلاوة على ذلك، تبالغ الدعوى في عدد السجلات من 2.9 مليار إلى "مليارات الأفراد"، وهو رقم يتجاوز بكثير مجموع سكان الولايات المتحدة وكندا والمملكة المتحدة.

رحلة صيد محتملة؟

ويشير الخبراء إلى أن الدعوى القضائية ربما لا تتعلق بإثبات مسؤولية شركة NPD بقدر ما تتعلق بإجبار الشركة على تقديم أدلة على براءتها. ففي الولايات المتحدة، تستطيع المحاكم أن تلزم المتهمين بالكشف عن معلومات قد تثبت أو تدحض الادعاءات الموجهة إليهم. وربما تكون هذه الاستراتيجية، التي يشار إليها غالباً باسم "رحلة الصيد"، هي الهدف الأساسي لفريق هوفمان القانوني.

وأشار إيليا كولوتشينكو، الرئيس التنفيذي لشركة ImmuniWeb والخبير القانوني، إلى أن مثل هذه التكتيكات أكثر شيوعًا في الولايات المتحدة مقارنة بأوروبا، حيث يقع عبء الإثبات عادةً على عاتق المدعي. وإذا أجبرت المحكمة شركة NPD على الكشف عن معلومات حول الاختراق المزعوم، فقد يؤدي ذلك إلى عواقب وخيمة على الشركة.

الصورة الأكبر وما نعرفه حتى الآن

ورغم الإجراءات القانونية والهياج الإعلامي، فلا يوجد حتى الآن دليل قاطع على تعرض NPD للاختراق. وربما تكون البيانات المتداولة قد نشأت من مصادر أخرى أو تم تجميعها من سجلات عامة، بدلاً من استخراجها من NPD. وحتى المصادر الموثوقة مثل Bleeping Computer، التي راجعت عينات من البيانات المسربة، لم تتمكن من تأكيد أن المعلومات جاءت من NPD.

علاوة على ذلك، فإن الاختراق المزعوم يثير تساؤلات حول الحجم الهائل للبيانات التي يُقال إنها سُرقت. وقد أعرب الخبراء عن تشككهم في جدوى استخراج 2.9 مليار سجل دون اكتشافها، خاصة بالنظر إلى الطبيعة الحساسة للمعلومات التي تتعامل معها NPD.

المستقبل غير المؤكد: انتظار الحقيقة

حتى الآن، لم تعلق شركة NPD على الاختراق المزعوم، ولم تقدم أي إفصاحات رسمية للهيئات التنظيمية في الولايات المتحدة أو المملكة المتحدة أو كندا. وقد لا تظهر الحقيقة وراء الاختراق إلا إذا طلبت المحاكم ردًا رسميًا من شركة NPD.

وفي الوقت نفسه، أثارت هذه المزاعم قلقاً وتكهنات واسعة النطاق. وما زال من غير الواضح ما إذا كانت هذه المزاعم ستثبت صحتها أم أنها كاذبة، ولكن هذا الموقف بمثابة تذكير بالمخاطر المحتملة المرتبطة بانتهاكات البيانات في العصر الرقمي اليوم.

وبينما ننتظر المزيد من المعلومات، فمن الأهمية بمكان أن نتعامل مع الموقف بحذر. ورغم أنه لا يمكن استبعاد احتمال حدوث خرق في إدارة مكافحة المخدرات، فإن الافتقار إلى الأدلة الملموسة يعني أن الحقيقة قد تكون أكثر تعقيداً مما تشير إليه العناوين الرئيسية.