Предполагаемото нарушение на данните за 2,9 милиарда записа предизвиква медийна истерия и съдебни действия срещу национални публични данни
Неотдавнашни слухове за мащабно нарушение на данните, включващо National Public Data (NPD), известна услуга за проверка на миналото, разпалиха медиите и предизвикаха множество съдебни дела. Въпреки широкото внимание, истината зад предполагаемото нарушение остава забулена в несигурност, с малко конкретни доказателства в подкрепа на твърденията.
Съдържание
Туит, който разпали огнена буря
Първите слухове за потенциален пробив се появиха на 8 април 2024 г., когато потребител на име HackManac публикува в X (бивш Twitter) за зашеметяващите 2,9 милиарда записа, за които се твърди, че са ексфилтрирани от базите данни на NPD. Според публикацията данните, които включват записи от граждани на Съединените щати, Канада и Обединеното кралство, са били предлагани за продажба от заплаха, известна като USDoD, за 3,5 милиона долара. Въпреки сериозността на твърдението, публикацията беше до голяма степен игнорирана от основните медии и NPD не даде отговор.
Тази първоначална публикация беше последвана от друга на 2 юни 2024 г. от vx-underground, добре позната общност за киберсигурност. Те твърдят, че са прегледали извадка от данните и са потвърдили автентичността им. За пореден път медиите и NPD запазиха мълчание.
Правните последствия като започват колективните искове
Ситуацията взе драматичен обрат на 1 август 2024 г., когато Кристофър Хофман заведе колективен иск срещу NPD. Хофман твърди, че неговата лична информация (PII) е била компрометирана при пробива, цитирайки известие от неговата служба за защита от кражба на самоличност. Това дело, заедно с три други, заведени от предполагаеми жертви, все още не е предоставило конкретно доказателство, свързващо ексфилтрираните данни директно с NPD.
Делото на Hofmann, което използва vx-underground post като основно доказателство, е пълно с несъответствия. Например, първоначално пробивът се приписва на USDoD, но по-късни корекции показват, че друг заплаха, известен като SXUL, може да е отговорен. Освен това съдебният процес раздува броя на записите от 2,9 милиарда до „милиарди индивиди“, цифра, която далеч надхвърля общото население на САЩ, Канада и Обединеното кралство.
Възможна риболовна експедиция?
Експерти предполагат, че делото може да е по-малко за доказване на вината на NPD, а повече за принуждаване на компанията да предостави доказателства за своята невинност. В САЩ съдилищата могат да изискват от ответниците да разкрият информация, която може да докаже или опровергае твърденията срещу тях. Тази стратегия, често наричана "риболовна експедиция", може да е основната цел на правния екип на Хофман.
Илия Колоченко, главен изпълнителен директор на ImmuniWeb и правен експерт, отбеляза, че подобни тактики са по-често срещани в САЩ, отколкото в Европа, където тежестта на доказване обикновено се носи от ищеца. Ако съдът принуди NPD да разкрие информация за предполагаемото нарушение, това може да доведе до значителни последици за компанията.
По-голямата картина и това, което знаем досега
Въпреки правните действия и медийната лудост, все още няма окончателно доказателство, че NPD е нарушен. Данните, които се разпространяват, може да произхождат от други източници или да са събрани от публични регистри, вместо да бъдат ексфилтрирани от NPD. Дори реномирани източници като Bleeping Computer, които прегледаха извадки от изтеклите данни, не можаха да потвърдят, че информацията идва от NPD.
Освен това, предполагаемото нарушение повдига въпроси относно големия обем данни, за които се съобщава, че са откраднати. Експертите изразиха скептицизъм относно осъществимостта на ексфилтриране на 2,9 милиарда записа без откриване, особено като се има предвид чувствителният характер на информацията, която обработва NPD.
Несигурното бъдеще: В очакване на истината
Към момента NPD не е коментирала предполагаемото нарушение, нито е направила официално разкрития пред регулаторните органи в САЩ, Обединеното кралство или Канада. Истината зад нарушението може да излезе наяве само ако съдилищата поискат официален отговор от NPD.
Междувременно обвиненията предизвикаха широко разпространено безпокойство и спекулации. Остава да видим дали тези твърдения ще бъдат доказани или доказани, че са неверни, но ситуацията служи като напомняне за потенциалните рискове, свързани с нарушенията на данните в днешната цифрова ера.
Докато чакаме повече информация, от решаващо значение е да подходим предпазливо към ситуацията. Въпреки че възможността за пробив в NPD не може да бъде изключена, липсата на конкретни доказателства означава, че истината може да е по-сложна, отколкото предполагат заглавията.