Multi-License Discount Quote
Computer Security הפרת נתונים לכאורה של 2.9 מיליארד רשומות מעוררת היסטריה...

הפרת נתונים לכאורה של 2.9 מיליארד רשומות מעוררת היסטריה תקשורתית ופעולה משפטית נגד נתונים ציבוריים לאומיים

עד Mura ב-Computer Security
לתרגם ל:
עברית

שמועות אחרונות על הפרת נתונים מסיבית הכוללת נתונים ציבוריים לאומיים (NPD), שירות בולט לבדיקת רקע, הציתו את התקשורת ועוררו תביעות מרובות. למרות תשומת הלב הנרחבת, האמת מאחורי ההפרה לכאורה נותרה אפופה בחוסר ודאות, עם מעט ראיות קונקרטיות לביסוס הטענות.

ציוץ שהצית סופת אש

הלחישות הראשונות על הפרה פוטנציאלית צצו ב-8 באפריל 2024, כאשר משתמש בשם HackManac פרסם ב-X (לשעבר טוויטר) על 2.9 מיליארד רשומות מדהימות שהסתננו לכאורה ממאגרי המידע של NPD. לפי הפוסט, הנתונים, הכוללים רשומות מאזרחי ארצות הברית, קנדה ובריטניה, הוצעו למכירה על ידי שחקן איום הידוע בשם USDoD תמורת 3.5 מיליון דולר. למרות חומרת הטענה, הפוסט זכה להתעלמות רבה על ידי התקשורת המיינסטרים, ו-NPD לא הוציאה תגובה.

אחרי פוסט ראשוני זה בא אחר ב-2 ביוני 2024, מ-vx-underground, קהילת אבטחת סייבר ידועה. הם טענו שבדקו מדגם של הנתונים ואישרו את האותנטיות שלהם. שוב, התקשורת וה-NPD שתקו.

הנפילה המשפטית עם תחילת תביעות ייצוגיות

המצב קיבל תפנית דרמטית ב-1 באוגוסט 2024, כאשר כריסטופר הופמן הגיש תביעה ייצוגית נגד NPD. הופמן טען כי המידע המאפשר זיהוי אישי שלו (PII) נפגע במהלך ההפרה, תוך ציון הודעה משירות ההגנה על גניבת זהות שלו. התביעה הזו, יחד עם שלושה אחרים שהוגשו על ידי קורבנות לכאורה, עדיין לא סיפקו הוכחה קונקרטית המקשרת את הנתונים שחולצו ישירות ל-NPD.

התביעה של הופמן, המשתמשת בפוסט המחתרת vx כראיה העיקרית שלה, רצופה בחוסר עקביות. לדוגמה, בתחילה היא מייחסת את ההפרה ל- USDoD, אך תיקונים מאוחרים יותר הצביעו על כך שייתכן שגורם איומים אחר, המכונה SXUL, היה אחראי. יתרה מכך, התביעה מנפחת את מספר השיאים מ-2.9 מיליארד ל"מיליארדי אנשים", נתון העולה בהרבה על האוכלוסייה המשולבת של ארה"ב, קנדה ובריטניה.

משלחת דיג אפשרית?

מומחים טוענים שהתביעה עשויה להיות פחות על הוכחת אשמתה של NPD ויותר על כפיית החברה לספק ראיות לחפותה. בארה"ב, בתי משפט יכולים לדרוש מהנתבעים לחשוף מידע שעשוי להוכיח או להפריך את הטענות נגדם. אסטרטגיה זו, המכונה לעתים קרובות "משלחת דיג", עשויה להיות המטרה העיקרית של הצוות המשפטי של הופמן.

איליה קולוצ'נקו, מנכ"לית ImmuniWeb ומומחית משפטית, ציינה כי טקטיקות כאלה נפוצות יותר בארה"ב מאשר באירופה, שם חובת ההוכחה מוטלת בדרך כלל על התובע. אם בית המשפט יחייב את NPD לחשוף מידע על ההפרה לכאורה, זה עלול להוביל לתוצאות משמעותיות עבור החברה.

התמונה הגדולה ומה שאנחנו יודעים עד כה

למרות התביעה המשפטית והטירוף התקשורתי, עדיין אין הוכחה חותכת לכך שה-NPD הופר. ייתכן שהנתונים המופצים מקורם במקורות אחרים או שנאספו מרישומים ציבוריים, במקום שהוצאו מ-NPD. אפילו מקורות מוכרים כמו Bleeping Computer, שבדקו דוגמאות של הנתונים שדלפו, לא יכלו לאשר שהמידע הגיע מ-NPD.

יתרה מכך, ההפרה לכאורה מעוררת תהיות לגבי הכמות העצומה של הנתונים שנגנבו. מומחים הביעו ספקנות לגבי ההיתכנות של הוצאת 2.9 מיליארד רשומות ללא זיהוי, במיוחד לאור האופי הרגיש של המידע ש-NPD מטפל בו.

העתיד הלא ברור: מחכים לאמת

נכון לעכשיו, NPD לא הגיבה על ההפרה לכאורה, וגם לא פרסמה גילויים רשמיים לגופים רגולטוריים בארה"ב, בריטניה או קנדה. האמת מאחורי ההפרה עשויה להתגלות רק אם בתי המשפט ידרשו תגובה רשמית מה-NPD.

בינתיים, ההאשמות עוררו דאגה והשערות נרחבות. האם הטענות הללו יוכחו או יוכחו כשגויות נותר לראות, אך המצב משמש תזכורת לסיכונים הפוטנציאליים הכרוכים בפרצות מידע בעידן הדיגיטלי של היום.

בזמן שאנו מחכים למידע נוסף, חיוני לגשת למצב בזהירות. אמנם לא ניתן לשלול אפשרות של הפרה ב-NPD, אך היעדר ראיות קונקרטיות אומר שהאמת עשויה להיות מורכבת יותר ממה שהכותרות מציעות.

טוען...