ادعای نقض اطلاعات 2.9 میلیارد رکورد باعث هیستری رسانه ها و اقدام قانونی علیه داده های عمومی ملی شد

شایعات اخیر مبنی بر نقض گسترده داده‌ها شامل داده‌های عمومی ملی (NPD)، یک سرویس برجسته بررسی پیشینه، رسانه‌ها را به آتش کشیده و جرقه‌های قضایی متعددی را برانگیخته است. علیرغم توجه گسترده، حقیقت پشت نقض ادعایی همچنان در هاله ای از ابهام قرار دارد و شواهد ملموس کمی برای اثبات ادعاها وجود دارد.

توییتی که طوفان آتش را برافروخت

اولین زمزمه های نقض احتمالی در 8 آوریل 2024 ظاهر شد، زمانی که کاربری به نام HackManac در X (توئیتر سابق) در مورد 2.9 میلیارد رکورد که ظاهراً از پایگاه داده های NPD استخراج شده بود پست کرد. طبق این پست، این داده ها که شامل سوابق شهروندان ایالات متحده، کانادا و بریتانیا می شود، توسط یک بازیگر تهدید معروف به USDoD به قیمت 3.5 میلیون دلار برای فروش پیشنهاد شده است. علیرغم شدت ادعا، این پست توسط رسانه های اصلی نادیده گرفته شد و NPD پاسخی نداد.

این پست اولیه در 2 ژوئن 2024 توسط vx-underground، یک جامعه معروف امنیت سایبری، دنبال شد. آنها ادعا کردند که نمونه ای از داده ها را بررسی کرده و صحت آن را تایید کرده اند. باز هم رسانه ها و NPD سکوت کردند.

عواقب قانونی با شروع دعوای حقوقی طبقاتی

وضعیت در 1 آگوست 2024، زمانی که کریستوفر هافمن شکایت دسته جمعی را علیه NPD تنظیم کرد، تغییر چشمگیری پیدا کرد. هافمن با استناد به اطلاعیه ای از سرویس حفاظت از سرقت هویت خود، ادعا کرد که اطلاعات هویتی شخصی او (PII) در این نقض به خطر افتاده است. این شکایت، همراه با سه پرونده دیگر که توسط قربانیان ادعا شده مطرح شده است، هنوز مدرک مشخصی مبنی بر ارتباط مستقیم داده های استخراج شده با NPD ارائه نکرده است.

دعوای حقوقی هافمن، که از پست vx-underground به عنوان مدرک اصلی خود استفاده می کند، پر از تناقض است. به عنوان مثال، در ابتدا این نقض را به USDoD نسبت می دهد، اما اصلاحات بعدی نشان داد که عامل تهدید دیگری، معروف به SXUL، ممکن است مسئول بوده باشد. علاوه بر این، این شکایت تعداد رکوردها را از 2.9 میلیارد به "میلیاردها نفر" افزایش می دهد که رقمی بسیار فراتر از مجموع جمعیت ایالات متحده، کانادا و بریتانیا است.

یک سفر ماهیگیری احتمالی؟

کارشناسان پیشنهاد می کنند که این دعوا ممکن است کمتر در مورد اثبات مقصر بودن NPD باشد و بیشتر در مورد اجبار شرکت به ارائه شواهدی مبنی بر بی گناهی خود باشد. در ایالات متحده، دادگاه ها می توانند متهمان را ملزم به افشای اطلاعاتی کنند که ممکن است ادعاهای علیه آنها را اثبات یا رد کند. این استراتژی که اغلب از آن به عنوان "اکسپدیشن ماهیگیری" یاد می شود، ممکن است هدف اصلی تیم حقوقی هافمن باشد.

ایلیا کولوچنکو، مدیر عامل ImmuniWeb و کارشناس حقوقی، خاطرنشان کرد که چنین تاکتیک‌هایی در ایالات متحده رایج‌تر از اروپا است، جایی که بار اثبات معمولاً بر عهده شاکی است. اگر دادگاه NPD را مجبور به افشای اطلاعات در مورد نقض ادعایی کند، می تواند منجر به عواقب قابل توجهی برای شرکت شود.

تصویر بزرگتر و آنچه تاکنون می دانیم

با وجود اقدامات قانونی و جنجال رسانه ای، هنوز هیچ مدرک قطعی مبنی بر نقض NPD وجود ندارد. داده های در حال پخش ممکن است از منابع دیگر سرچشمه گرفته باشند یا از سوابق عمومی گردآوری شده باشند، نه اینکه از NPD استخراج شده باشند. حتی منابع معتبری مانند Bleeping Computer که نمونه‌هایی از داده‌های لو رفته را بررسی کردند، نتوانستند تأیید کنند که این اطلاعات از NPD آمده است.

علاوه بر این، نقض ادعایی سوالاتی را در مورد حجم انبوه داده هایی که گزارش شده به سرقت رفته است، ایجاد می کند. کارشناسان نسبت به امکان سنجی 2.9 میلیارد رکورد بدون شناسایی، به ویژه با توجه به ماهیت حساس دسته های اطلاعات NPD ابراز تردید کرده اند.

آینده نامشخص: در انتظار حقیقت

تا کنون، NPD در مورد نقض ادعایی اظهار نظر نکرده است، و هیچ گونه افشای رسمی را به نهادهای نظارتی در ایالات متحده، بریتانیا یا کانادا ارائه نکرده است. حقیقت پشت این نقض ممکن است تنها در صورتی آشکار شود که دادگاه ها پاسخ رسمی از NPD را بخواهند.

در این میان، این اتهامات نگرانی و گمانه زنی های گسترده ای را برانگیخته است. اینکه آیا این ادعاها ثابت خواهند شد یا نادرست بودن آنها باید مشخص شود، اما این وضعیت به عنوان یادآوری خطرات احتمالی مرتبط با نقض داده ها در عصر دیجیتال امروزی است.

همانطور که منتظر اطلاعات بیشتر هستیم، بسیار مهم است که با احتیاط به وضعیت نزدیک شویم. در حالی که امکان نقض NPD را نمی توان رد کرد، فقدان شواهد ملموس به این معنی است که حقیقت ممکن است پیچیده تر از آن چیزی باشد که سرفصل ها نشان می دهند.