Väitetty 2,9 miljardin tietueen tietomurto herättää mediahysteriaa ja oikeustoimia kansallisia julkisia tietoja vastaan
Viimeaikaiset huhut massiivisesta tietoturvaloukkauksesta, joka koskee kansallista julkista dataa (NPD), näkyvä taustantarkistuspalvelu, ovat sytyttäneet tiedotusvälineet tuleen ja herättäneet useita oikeusjuttuja. Huolimatta laajasta huomiosta, väitetyn rikkomuksen takana oleva totuus on edelleen epävarmuuden peitossa, eikä väitteiden tueksi ole juurikaan konkreettista näyttöä.
Sisällysluettelo
Twiitti, joka sytytti myrskyn
Ensimmäiset kuiskaukset mahdollisesta rikkomuksesta nousivat esiin 8. huhtikuuta 2024, kun HackManac-niminen käyttäjä julkaisi X:ssä (entinen Twitter) huikeasta 2,9 miljardista tietueesta, jonka väitettiin suottautuneen NPD:n tietokannoista. Viestin mukaan uhkatoimija, joka tunnetaan nimellä USDoD, tarjosi tietoja, jotka sisältävät tietoja Yhdysvaltojen, Kanadan ja Yhdistyneen kuningaskunnan kansalaisilta, myytäväksi 3,5 miljoonalla dollarilla. Väitteen vakavuudesta huolimatta valtamedia jätti viestin suurelta osin huomiotta, eikä NPD antanut vastausta.
Tätä ensimmäistä viestiä seurasi toinen 2. kesäkuuta 2024 vx-underground, tunnettu kyberturvallisuusyhteisö. He väittivät tarkistaneensa näytteen tiedoista ja vahvistaneensa sen aitouden. Jälleen kerran tiedotusvälineet ja NPD olivat vaiti.
Oikeudellinen epäonnistuminen ryhmäkanteiden alkaessa
Tilanne sai dramaattisen käänteen 1. elokuuta 2024, kun Christopher Hofmann nosti ryhmäkanteen NPD:tä vastaan. Hofmann väitti, että hänen henkilökohtaiset tunnistetietonsa (PII) olivat vaarantuneet tietomurron yhteydessä, vedoten hänen identiteettivarkauksien suojauspalvelunsa ilmoitukseen. Tämä oikeusjuttu, samoin kuin kolme muuta väitettyjen uhrien nostamia kanteita, eivät ole vielä toimittaneet konkreettisia todisteita, jotka yhdistävät poistetut tiedot suoraan NPD:hen.
Hofmannin oikeusjuttu, joka käyttää vx-underground-postia ensisijaisena todisteena, on täynnä epäjohdonmukaisuuksia. Se esimerkiksi liittää rikkomuksen aluksi USDoD:n syyksi, mutta myöhemmät korjaukset osoittivat, että syynä saattoi olla eri uhkatekijä, joka tunnetaan nimellä SXUL. Lisäksi oikeusjuttu kasvattaa tietueiden määrän 2,9 miljardista "miljardeihin yksilöihin", mikä on paljon enemmän kuin Yhdysvaltojen, Kanadan ja Yhdistyneen kuningaskunnan yhteenlaskettu väkiluku.
Mahdollinen kalastusretki?
Asiantuntijat ehdottavat, että oikeusjuttu ei ehkä koske niinkään NPD:n syyllisyyden todistamista vaan enemmän yrityksen pakottamista todistamaan syyttömyytensä. Yhdysvalloissa tuomioistuimet voivat vaatia vastaajia paljastamaan tietoja, jotka voivat todistaa tai kumota heitä vastaan esitetyt väitteet. Tämä strategia, jota usein kutsutaan "kalastusmatkaksi", saattaa olla Hofmannin lakitiimin ensisijainen tavoite.
ImmuniWebin toimitusjohtaja ja lakiasiantuntija Ilia Kolotšenko totesi, että tällainen taktiikka on yleisempää Yhdysvalloissa kuin Euroopassa, jossa todistustaakka on tyypillisesti kantajalla. Jos tuomioistuin velvoittaa NPD:n paljastamaan tietoja väitetystä loukkauksesta, sillä voi olla merkittäviä seurauksia yritykselle.
Isompi kuva ja mitä tiedämme tähän mennessä
Oikeudellisista toimista ja mediavimmasta huolimatta ei ole vieläkään lopullista näyttöä siitä, että NPD:tä olisi rikottu. Kierrettävät tiedot ovat saattaneet olla peräisin muista lähteistä tai kerätty julkisista rekistereistä sen sijaan, että ne olisivat NPD:stä suodatettuja. Jopa hyvämaineiset lähteet, kuten Bleeping Computer, jotka tarkastelivat näytteitä vuotaneista tiedoista, eivät voineet vahvistaa, että tiedot olivat peräisin NPD:ltä.
Lisäksi väitetty tietomurto herättää kysymyksiä varastettujen tietojen valtavasta määrästä. Asiantuntijat ovat suhtautuneet epäilevästi 2,9 miljardin tietueen suodattamisen toteutettavuuteen ilman havaitsemista, varsinkin kun otetaan huomioon NPD:n käsittelemien tietojen arkaluonteisuus.
Epävarma tulevaisuus: Odotan totuutta
Toistaiseksi NPD ei ole kommentoinut väitettyä rikkomusta, eikä se ole julkistanut virallisia tietoja Yhdysvaltain, Yhdistyneen kuningaskunnan tai Kanadan sääntelyelimille. Rikkomisen taustalla oleva totuus voi tulla ilmi vain, jos tuomioistuimet vaativat NPD:ltä muodollista vastausta.
Sillä välin syytökset ovat herättäneet laajaa huolta ja spekulaatiota. Nähtäväksi jää, ovatko nämä väitteet perusteltuja vai vääriä, mutta tilanne on muistutus mahdollisista riskeistä, jotka liittyvät tietomurtoihin nykypäivän digitaaliaikana.
Kun odotamme lisätietoja, on tärkeää suhtautua tilanteeseen varoen. Vaikka NPD:n rikkomisen mahdollisuutta ei voida sulkea pois, konkreettisten todisteiden puute tarkoittaa, että totuus voi olla monimutkaisempi kuin otsikot antavat ymmärtää.