Údajné porušení údajů o 2,9 miliardách záznamů vyvolává mediální hysterii a právní kroky proti národním veřejným údajům
Nedávné zvěsti o masivním úniku dat zahrnující National Public Data (NPD), prominentní službu pro kontrolu pozadí, rozhořely média a vyvolaly četné soudní spory. Navzdory široké pozornosti zůstává pravda za údajným porušením zahalena nejistotou a existuje jen málo konkrétních důkazů, které by tvrzení doložily.
Obsah
Tweet, který zažehl bouři
První šepot o potenciálním narušení se objevil 8. dubna 2024, kdy uživatel jménem HackManac zveřejnil na X (dříve Twitter) ohromujících 2,9 miliardy záznamů údajně exfiltrovaných z databází NPD. Podle příspěvku byla data, která zahrnují záznamy od občanů Spojených států, Kanady a Spojeného království, nabízena k prodeji hrozbou známým jako USDoD za 3,5 milionu dolarů. Navzdory závažnosti tvrzení byl příspěvek do značné míry ignorován mainstreamovými médii a NPD nevydala odpověď.
Po tomto úvodním příspěvku následoval 2. června 2024 další příspěvek od vx-underground, známé komunity kybernetické bezpečnosti. Tvrdili, že zkontrolovali vzorek dat a potvrdili jejich pravost. Přesto média a NPD opět mlčely.
Právní dopad, když začnou hromadné žaloby
Situace nabrala dramatický spád 1. srpna 2024, kdy Christopher Hofmann podal hromadnou žalobu na NPD. Hofmann tvrdil, že jeho osobní údaje (PII) byly při narušení ohroženy, s odkazem na oznámení od své služby ochrany proti krádeži identity. Tato žaloba, spolu s dalšími třemi podanými údajnými oběťmi, dosud neposkytla konkrétní důkaz spojující exfiltrovaná data přímo s NPD.
Soudní spor Hofmann, který používá jako primární důkaz vx-underground post, je plný nesrovnalostí. Například zpočátku připisuje porušení USDoD, ale pozdější opravy ukázaly, že za to mohl jiný aktér ohrožení, známý jako SXUL. Žaloba navíc zvyšuje počet záznamů z 2,9 miliardy na „miliardy jednotlivců“, což je číslo daleko přesahující počet obyvatel USA, Kanady a Spojeného království.
Možná rybářská expedice?
Odborníci naznačují, že žaloba může být méně o dokazování viny NPD a více o přinucení společnosti, aby poskytla důkazy o své nevině. V USA mohou soudy požadovat od žalovaných, aby zveřejnili informace, které by mohly prokázat nebo vyvrátit nároky proti nim. Tato strategie, často označovaná jako „rybářské výpravy“, by mohla být hlavním cílem Hofmannova právního týmu.
Ilia Kolochenko, generální ředitel společnosti ImmuniWeb a právní expert, poznamenal, že takové taktiky jsou běžnější v USA než v Evropě, kde důkazní břemeno obvykle leží na žalobci. Pokud soud přinutí NPD, aby zveřejnila informace o údajném porušení, mohlo by to mít pro společnost významné důsledky.
Větší obrázek a co zatím víme
Navzdory právním krokům a mediálnímu šílenství stále neexistuje žádný definitivní důkaz o porušení NPD. Údaje, které jsou v oběhu, mohly pocházet z jiných zdrojů nebo byly sestaveny z veřejných záznamů, spíše než aby byly exfiltrovány z NPD. Ani renomované zdroje jako Bleeping Computer, které zkoumaly vzorky uniklých dat, nemohly potvrdit, že informace pocházejí od NPD.
Údajné porušení navíc vyvolává otázky ohledně samotného objemu údajně ukradených dat. Odborníci vyjádřili skepsi ohledně proveditelnosti exfiltrace 2,9 miliardy záznamů bez detekce, zejména s ohledem na citlivou povahu informací, které NPD zpracovává.
Nejistá budoucnost: Čekání na pravdu
NPD dosud údajné porušení nekomentovala, ani neučinila žádné oficiální informace regulačním orgánům v USA, Velké Británii nebo Kanadě. Pravda za porušením může vyjít najevo pouze v případě, že soudy požádají NPD o formální odpověď.
Mezitím tato obvinění vyvolala rozsáhlé obavy a spekulace. Zda budou tato tvrzení doložena nebo prokázána jako nepravdivá, se teprve uvidí, ale situace slouží jako připomínka potenciálních rizik spojených s úniky dat v dnešní digitální době.
Zatímco čekáme na další informace, je zásadní přistupovat k situaci opatrně. I když možnost porušení NPD nelze vyloučit, nedostatek konkrétních důkazů znamená, že pravda může být složitější, než naznačují titulky.