La presumpta infracció de dades de 2.900 milions de registres provoca histèria dels mitjans i accions legals contra les dades públiques nacionals
Els rumors recents d'una violació massiva de dades amb la participació de National Public Data (NPD), un destacat servei de verificació d'antecedents, han incendiat els mitjans de comunicació i han provocat múltiples demandes. Malgrat l'atenció generalitzada, la veritat darrere de la suposada incompliment segueix envoltada d'incertesa, amb poques evidències concretes per corroborar les afirmacions.
Taula de continguts
Un tuit que va encendre una tempesta de foc
Els primers xiuxiueigs d'una possible incompliment van sorgir el 8 d'abril de 2024, quan un usuari anomenat HackManac va publicar a X (anteriorment Twitter) sobre 2.900 milions de registres suposadament exfiltrats de les bases de dades de l'NPD. Segons la publicació, les dades, que inclouen registres de ciutadans dels Estats Units, el Canadà i el Regne Unit, estaven sent posades a la venda per un actor d'amenaces conegut com USDoD per 3,5 milions de dòlars. Malgrat la gravetat de la reclamació, la publicació va ser ignorada en gran part pels mitjans de comunicació convencionals i l'NPD no va emetre cap resposta.
Aquesta publicació inicial va ser seguida d'una altra el 2 de juny de 2024, de vx-underground, una coneguda comunitat de ciberseguretat. Van afirmar haver revisat una mostra de les dades i n'han confirmat l'autenticitat. Un cop més, els mitjans de comunicació i l'NPD van romandre en silenci.
La caiguda legal a mesura que comencen les demandes d'acció col·lectiva
La situació va donar un gir dramàtic l'1 d'agost de 2024, quan Christopher Hofmann va presentar una demanda col·lectiva contra NPD. Hofmann va al·legar que la seva informació d'identificació personal (PII) havia estat compromesa en l'incompliment, citant una notificació del seu servei de protecció contra robatori d'identitat. Aquesta demanda, juntament amb altres tres presentades per presumptes víctimes, encara no ha proporcionat proves concretes que vinculin les dades exfiltrades directament amb NPD.
La demanda Hofmann, que utilitza la publicació vx-underground com a prova principal, està plena d'incoherències. Per exemple, inicialment atribueix l'incompliment a USDoD, però les correccions posteriors van indicar que un altre actor d'amenaça, conegut com SXUL, podria haver estat el responsable. A més, la demanda augmenta el nombre de registres de 2.900 milions a "milers de milions d'individus", una xifra que supera amb escreix la població conjunta dels Estats Units, el Canadà i el Regne Unit.
Una possible expedició de pesca?
Els experts suggereixen que la demanda pot tractar menys de demostrar la culpabilitat de NPD i més d'obligar l'empresa a proporcionar proves de la seva innocència. Als Estats Units, els tribunals poden exigir als acusats que revelin informació que pugui demostrar o desmentir les reclamacions contra ells. Aquesta estratègia, sovint anomenada "expedició de pesca", podria ser l'objectiu principal de l'equip legal d'Hofmann.
Ilia Kolochenko, director general d'ImmuniWeb i expert jurídic, va assenyalar que aquestes tàctiques són més comunes als EUA que a Europa, on la càrrega de la prova normalment recau en el demandant. Si el tribunal obliga a NPD a revelar informació sobre el suposat incompliment, podria tenir conseqüències importants per a l'empresa.
La imatge més gran i el que sabem fins ara
Malgrat l'acció legal i el frenesí mediàtic, encara no hi ha cap prova definitiva que s'hagi infringit l'NPD. Les dades que es distribueixen poden haver-se originat d'altres fonts o s'han compilat a partir de registres públics, en lloc d'exfiltrar-se de NPD. Fins i tot fonts de bona reputació com Bleeping Computer, que van revisar mostres de les dades filtrades, no van poder confirmar que la informació provenia de NPD.
A més, la suposada incompliment planteja preguntes sobre el gran volum de dades robades. Els experts han expressat escepticisme sobre la viabilitat d'exfiltrar 2.900 milions de registres sense detecció, sobretot tenint en compte la naturalesa sensible de la informació que gestiona l'NPD.
El futur incert: esperant la veritat
De moment, NPD no ha comentat la suposada infracció, ni ha fet cap divulgació oficial als organismes reguladors dels EUA, el Regne Unit o el Canadà. La veritat darrere de l'incompliment només pot sortir a la llum si els tribunals exigeixen una resposta formal de l'NPD.
Mentrestant, les denúncies han generat una preocupació i especulacions generalitzades. Queda per veure si aquestes afirmacions es corroboraran o es demostraran falses, però la situació serveix com a recordatori dels riscos potencials associats a les infraccions de dades en l'era digital actual.
Mentre esperem més informació, és fonamental abordar la situació amb precaució. Tot i que no es pot descartar la possibilitat d'un incompliment a l'NPD, la manca d'evidències concretes significa que la veritat pot ser més complexa del que suggereixen els titulars.