Navodna povreda podataka od 2,9 milijardi zapisa izazvala je medijsku histeriju i pravni postupak protiv nacionalnih javnih podataka
Nedavne glasine o masovnoj povredi podataka koja uključuje National Public Data (NPD), istaknutu uslugu provjere pozadine, zapalile su medije i potaknule brojne tužbe. Unatoč širokoj pozornosti, istina iza navodne povrede ostaje obavijena neizvjesnošću, s malo konkretnih dokaza koji bi potkrijepili tvrdnje.
Sadržaj
Tweet koji je zapalio oluju
Prva šuškanja o potencijalnoj provali pojavila su se 8. travnja 2024., kada je korisnik pod imenom HackManac objavio na X (bivši Twitter) o nevjerojatnih 2,9 milijardi zapisa koji su navodno eksfiltrirani iz NPD-ovih baza podataka. Prema objavi, podatke, koji uključuju zapise građana Sjedinjenih Država, Kanade i Ujedinjenog Kraljevstva, nudio je na prodaju prijetnja poznata kao USDoD za 3,5 milijuna dolara. Unatoč ozbiljnosti tvrdnje, objavu su uglavnom ignorirali glavni mediji, a NPD nije objavio odgovor.
Nakon ovog početnog posta uslijedio je drugi 2. lipnja 2024. od vx-undergrounda, poznate zajednice koja se bavi kibernetičkom sigurnošću. Tvrdili su da su pregledali uzorak podataka i potvrdili njihovu autentičnost. Opet su mediji i NPD ostali nijemi.
Pravne posljedice kada počinju grupne tužbe
Situacija se dramatično preokrenula 1. kolovoza 2024. kada je Christopher Hofmann podnio kolektivnu tužbu protiv NPD-a. Hofmann je tvrdio da su njegovi osobni identifikacijski podaci (PII) bili kompromitirani u provali, pozivajući se na obavijest svoje službe za zaštitu od krađe identiteta. Ova tužba, zajedno s tri druge koje su podnijele navodne žrtve, tek treba pružiti konkretne dokaze koji povezuju eksfiltrirane podatke izravno s NPD-om.
Hofmannova tužba, koja koristi vx-underground post kao primarni dokaz, puna je nedosljednosti. Na primjer, u početku se kršenje pripisuje USDoD-u, no kasniji su ispravci ukazali da je možda odgovoran drugi akter prijetnje, poznat kao SXUL. Nadalje, tužba povećava broj zapisa s 2,9 milijardi na "milijarde pojedinaca", brojku koja daleko premašuje zajedničku populaciju SAD-a, Kanade i UK-a.
Moguća ribolovna ekspedicija?
Stručnjaci sugeriraju da bi se tužba možda manje odnosila na dokazivanje NPD-ove krivnje, a više na prisiljavanje tvrtke da pruži dokaze o svojoj nevinosti. U SAD-u sudovi mogu zahtijevati od tuženika da otkrije informacije koje bi mogle dokazati ili opovrgnuti optužbe protiv njih. Ova strategija, često nazivana "ribolovnom ekspedicijom", mogla bi biti primarni cilj Hofmannova odvjetničkog tima.
Ilia Kolochenko, izvršni direktor tvrtke ImmuniWeb i pravni stručnjak, primijetio je da su takve taktike češće u SAD-u nego u Europi, gdje je teret dokazivanja obično na tužitelju. Ako sud prisili NPD da otkrije informacije o navodnoj povredi, to bi moglo dovesti do značajnih posljedica za tvrtku.
Šira slika i ono što do sada znamo
Unatoč pravnom postupku i medijskoj pomami, još uvijek nema definitivnog dokaza da je NPD prekršen. Podaci koji se šire možda potječu iz drugih izvora ili su prikupljeni iz javnih zapisa, umjesto da su izvučeni iz NPD-a. Čak ni renomirani izvori poput Bleeping Computera, koji je pregledao uzorke procurjelih podataka, nisu mogli potvrditi da je informacija došla od NPD-a.
Štoviše, navodna povreda postavlja pitanja o ogromnoj količini podataka koji su navodno ukradeni. Stručnjaci su izrazili skepticizam glede izvedivosti eksfiltracije 2,9 milijardi zapisa bez otkrivanja, posebno s obzirom na osjetljivu prirodu informacija kojima rukuje NPD.
Neizvjesna budućnost: U iščekivanju istine
Do sada, NPD nije komentirao navodnu povredu, niti je službeno otkrio regulatornim tijelima u SAD-u, UK-u ili Kanadi. Istina iza kršenja mogla bi izaći na vidjelo samo ako sudovi od NPD-a zatraže službeni odgovor.
U međuvremenu, optužbe su izazvale široku zabrinutost i nagađanja. Hoće li ove tvrdnje biti potkrijepljene ili dokazano lažnima, ostaje za vidjeti, ali situacija služi kao podsjetnik na potencijalne rizike povezane s povredama podataka u današnjem digitalnom dobu.
Dok čekamo više informacija, ključno je oprezno pristupiti situaciji. Iako se mogućnost kršenja NPD-a ne može isključiti, nedostatak konkretnih dokaza znači da bi istina mogla biti složenija nego što naslovi sugeriraju.