A 2,9 milliárd rekord állítólagos adatsértése médiahisztériát és jogi fellépést vált ki a nemzeti nyilvános adatok ellen
A közelmúltban terjedő pletykák egy jelentős adatvédelmi incidensről, amely a National Public Data (NPD) jelentős háttér-ellenőrző szolgáltatást érintette, lángra lobbantotta a médiát, és több pert is elindított. A széles körben elterjedt figyelem ellenére az állítólagos jogsértés mögött meghúzódó igazságot továbbra is bizonytalanság fedi, és kevés konkrét bizonyíték áll rendelkezésre az állítások alátámasztására.
Tartalomjegyzék
Egy tweet, amely tűzvihart gyújtott fel
Az első suttogás a lehetséges incidensről 2024. április 8-án jelent meg, amikor egy HackManac nevű felhasználó az X-en (korábban Twitteren) közzétett egy elképesztő, 2,9 milliárd rekordot, amelyet állítólag kiszivárogtak az NPD adatbázisaiból. A bejegyzés szerint az Egyesült Államok, Kanada és az Egyesült Királyság állampolgárainak adatait tartalmazó adatokat egy USDoD néven ismert fenyegető szereplő 3,5 millió dollárért kínálta eladásra. Az állítás súlyossága ellenére a bejegyzést a mainstream média nagyrészt figyelmen kívül hagyta, és az NPD nem adott választ.
Ezt az első bejegyzést egy másik követte 2024. június 2-án a vx-undergroundtól, egy jól ismert kiberbiztonsági közösségtől. Azt állították, hogy átnéztek egy mintát az adatokból, és megerősítették annak hitelességét. A média és az NPD ismét hallgatott.
A jogi bukás, amikor elkezdődnek a csoportos perek
A helyzet drámai fordulatot vett 2024. augusztus 1-jén, amikor Christopher Hofmann csoportos keresetet indított az NPD ellen. Hofmann azt állította, hogy személyazonosításra alkalmas adatai (PII) veszélybe kerültek a jogsértés során, hivatkozva a személyazonosság-lopás elleni védelmi szolgálatának értesítésére. Ez a per, valamint három másik, állítólagos áldozat által benyújtott kereset még nem szolgáltatott konkrét bizonyítékot arra vonatkozóan, hogy a kiszűrt adatokat közvetlenül az NPD-hez kapcsolták.
A Hofmann-per, amely a vx-underground posztot használja elsődleges bizonyítékként, tele van következetlenségekkel. Például kezdetben az USDoD-nek tulajdonítja a jogsértést, de a későbbi javítások azt mutatták, hogy egy másik fenyegetés szereplő, az SXUL lehet a felelős. Ezenkívül a per 2,9 milliárdról "egyénmilliárdokra" növeli a rekordok számát, ami messze meghaladja az Egyesült Államok, Kanada és az Egyesült Királyság népességét.
Lehetséges horgászexpedíció?
Szakértők szerint a per kevésbé az NPD bűnösségének bizonyítására irányul, hanem inkább arra, hogy a céget ártatlanságának bizonyítására kényszerítsék. Az Egyesült Államokban a bíróságok megkövetelhetik az alperesektől, hogy tárjanak fel olyan információkat, amelyek igazolhatják vagy megcáfolhatják a velük szembeni követeléseket. Ez a gyakran „halászexpedíciónak” nevezett stratégia lehet Hofmann jogi csapatának elsődleges célja.
Ilia Kolochenko, az ImmuniWeb vezérigazgatója és jogi szakértő megjegyezte, hogy az ilyen taktikák gyakoribbak az Egyesült Államokban, mint Európában, ahol a bizonyítási teher jellemzően a felperest terheli. Ha a bíróság arra kényszeríti az NPD-t, hogy közöljön információkat az állítólagos jogsértésről, az jelentős következményekkel járhat a vállalat számára.
A nagyobb kép és amit eddig tudunk
A jogi lépések és a média őrülete ellenére még mindig nincs végleges bizonyíték arra, hogy megsértették az NPD-t. Előfordulhat, hogy a terjesztett adatok más forrásból származnak, vagy nyilvános nyilvántartásokból állították össze, nem pedig az NPD-ből. Még az olyan jó hírű források sem, mint a Bleeping Computer, amelyek mintákat vizsgáltak meg a kiszivárgott adatokból, nem tudták megerősíteni, hogy az információ az NPD-től származott.
Ezenkívül az állítólagos jogsértés kérdéseket vet fel az állítólagos ellopott adatok puszta mennyiségével kapcsolatban. A szakértők szkepticizmusukat fejezték ki azzal kapcsolatban, hogy megvalósítható-e 2,9 milliárd rekord észlelés nélküli kiszűrése, különös tekintettel az NPD által kezelt információk érzékeny természetére.
A bizonytalan jövő: az igazságra várva
Az NPD egyelőre nem kommentálta az állítólagos jogsértést, és nem tett hivatalos tájékoztatást sem az Egyesült Államok, sem az Egyesült Királyság, sem Kanada szabályozó testületeinek. A jogsértés mögött meghúzódó igazságra csak akkor derülhet fény, ha a bíróságok hivatalos választ követelnek az NPD-től.
Időközben a vádak széleskörű aggodalmat és találgatásokat váltottak ki. Hogy ezek az állítások megalapozottak-e vagy hamisnak bizonyulnak-e, az még nem derül ki, de a helyzet emlékeztet a mai digitális korszak adatszivárgásával járó lehetséges kockázatokra.
Miközben további információkra várunk, kulcsfontosságú, hogy óvatosan közelítsünk a helyzethez. Bár az NPD megsértésének lehetősége nem zárható ki, a konkrét bizonyítékok hiánya azt jelenti, hogy az igazság összetettebb lehet, mint a címek sugallják.