Påstået databrud på 2,9 milliarder optegnelser udløser mediehysteri og juridisk handling mod nationale offentlige data
De seneste rygter om et massivt databrud, der involverer National Public Data (NPD), en fremtrædende baggrundstjektjeneste, har sat medierne i brand og udløst flere retssager. På trods af den udbredte opmærksomhed er sandheden bag det påståede brud fortsat omgærdet i usikkerhed, med få konkrete beviser til at underbygge påstandene.
Indholdsfortegnelse
Et tweet, der antændte en ildstorm
De første hvisken om et potentielt brud dukkede op den 8. april 2024, da en bruger ved navn HackManac skrev på X (tidligere Twitter) om svimlende 2,9 milliarder poster, der angiveligt var blevet eksfiltreret fra NPD's databaser. Ifølge posten blev dataene, som inkluderer optegnelser fra borgere fra USA, Canada og Storbritannien, udbudt til salg af en trusselaktør kendt som USDoD for $3,5 millioner. På trods af påstandens alvor blev indlægget stort set ignoreret af mainstream-medier, og NPD udsendte ikke et svar.
Dette første indlæg blev fulgt af et andet den 2. juni 2024 fra vx-underground, et velkendt cybersikkerhedsfællesskab. De hævdede at have gennemgået en prøve af dataene og bekræftet deres ægthed. Endnu en gang forblev medierne og NPD tavse.
Det juridiske nedfald, når gruppesøgsmål begynder
Situationen tog en dramatisk drejning den 1. august 2024, da Christopher Hofmann anlagde et gruppesøgsmål mod NPD. Hofmann hævdede, at hans personligt identificerbare oplysninger (PII) var blevet kompromitteret i bruddet, med henvisning til en meddelelse fra hans identitetstyveribeskyttelsestjeneste. Denne retssag, sammen med tre andre indgivet af påståede ofre, har endnu ikke givet konkrete beviser, der forbinder de eksfiltrerede data direkte til NPD.
Hofmann-sagen, der bruger vx-undergrundsposten som sit primære bevis, er fyldt med uoverensstemmelser. For eksempel tilskriver den oprindeligt bruddet USDoD, men senere rettelser indikerede, at en anden trusselaktør, kendt som SXUL, kan have været ansvarlig. Desuden puster retssagen antallet af optegnelser op fra 2,9 milliarder til "milliarder af individer", et tal, der langt overstiger den samlede befolkning i USA, Canada og Storbritannien.
En mulig fiskeekspedition?
Eksperter antyder, at retssagen kan handle mindre om at bevise NPD's skyld og mere om at tvinge virksomheden til at fremlægge bevis for sin uskyld. I USA kan domstole kræve, at sagsøgte afslører oplysninger, der kan bevise eller afkræfte påstandene mod dem. Denne strategi, ofte omtalt som en "fiskeekspedition", kan være det primære mål for Hofmanns juridiske team.
Ilia Kolochenko, administrerende direktør for ImmuniWeb og en juridisk ekspert, bemærkede, at sådanne taktikker er mere almindelige i USA end i Europa, hvor bevisbyrden typisk ligger hos sagsøgeren. Hvis retten tvinger NPD til at videregive oplysninger om det påståede brud, kan det få betydelige konsekvenser for virksomheden.
Det større billede og hvad vi ved indtil videre
På trods af retssagen og medievanvid er der stadig intet endeligt bevis for, at NPD blev brudt. De data, der cirkuleres, kan stamme fra andre kilder eller være kompileret fra offentlige registre, snarere end at være blevet eksfiltreret fra NPD. Selv velrenommerede kilder som Bleeping Computer, der gennemgik prøver af de lækkede data, kunne ikke bekræfte, at oplysningerne kom fra NPD.
Desuden rejser det påståede brud spørgsmål om den store mængde data, der angiveligt er stjålet. Eksperter har udtrykt skepsis over for gennemførligheden af at eksfiltrere 2,9 milliarder poster uden opdagelse, især i betragtning af den følsomme karakter af de oplysninger, NPD håndterer.
Den usikre fremtid: Afventer sandheden
Indtil videre har NPD ikke kommenteret det påståede brud, og den har heller ikke givet nogen officielle afsløringer til regulerende organer i USA, Storbritannien eller Canada. Sandheden bag bruddet kan kun komme frem, hvis domstolene kræver et formelt svar fra NPD.
I mellemtiden har beskyldningerne udløst udbredt bekymring og spekulationer. Hvorvidt disse påstande vil blive underbygget eller bevist falske skal vise sig, men situationen tjener som en påmindelse om de potentielle risici forbundet med databrud i nutidens digitale tidsalder.
Mens vi venter på mere information, er det afgørende at forholde sig til situationen med forsigtighed. Selvom muligheden for et brud hos NPD ikke kan udelukkes, betyder manglen på konkrete beviser, at sandheden kan være mere kompleks, end overskrifterne antyder.