La presunta violazione dei dati di 2,9 miliardi di record scatena l'isteria mediatica e l'azione legale contro i dati pubblici nazionali
Le recenti voci di una massiccia violazione dei dati che ha coinvolto National Public Data (NPD), un importante servizio di controllo dei precedenti, hanno infiammato i media e scatenato molteplici cause legali. Nonostante l'attenzione diffusa, la verità dietro la presunta violazione rimane avvolta nell'incertezza, con poche prove concrete a sostegno delle affermazioni.
Sommario
Un tweet che ha scatenato una tempesta
I primi sussurri di una potenziale violazione sono emersi l'8 aprile 2024, quando un utente di nome HackManac ha pubblicato su X (ex Twitter) un articolo su ben 2,9 miliardi di record presumibilmente esfiltrati dai database di NPD. Secondo il post, i dati, che includono record di cittadini degli Stati Uniti, del Canada e del Regno Unito, erano stati messi in vendita da un attore della minaccia noto come USDoD per 3,5 milioni di dollari. Nonostante la gravità dell'affermazione, il post è stato ampiamente ignorato dai media tradizionali e NPD non ha rilasciato alcuna risposta.
Questo post iniziale è stato seguito da un altro il 2 giugno 2024, da vx-underground, una nota comunità di sicurezza informatica. Hanno affermato di aver esaminato un campione di dati e di averne confermato l'autenticità. Ancora una volta, i media e l'NPD sono rimasti in silenzio.
Le ricadute legali con l'inizio delle azioni collettive
La situazione ha preso una piega drammatica il 1° agosto 2024, quando Christopher Hofmann ha intentato una class action contro NPD. Hofmann ha affermato che le sue informazioni di identificazione personale (PII) erano state compromesse nella violazione, citando una notifica del suo servizio di protezione contro il furto di identità. Questa causa, insieme ad altre tre intentate da presunte vittime, deve ancora fornire prove concrete che colleghino i dati esfiltrati direttamente a NPD.
La causa Hofmann, che usa il post vx-underground come prova principale, è piena di incongruenze. Ad esempio, inizialmente attribuisce la violazione a USDoD, ma successive correzioni hanno indicato che un diverso attore della minaccia, noto come SXUL, potrebbe esserne stato il responsabile. Inoltre, la causa gonfia il numero di record da 2,9 miliardi a "miliardi di individui", una cifra che supera di gran lunga la popolazione complessiva di Stati Uniti, Canada e Regno Unito.
Una possibile spedizione di pesca?
Gli esperti suggeriscono che la causa potrebbe riguardare meno la dimostrazione della colpevolezza di NPD e più l'obbligo per l'azienda di fornire prove della sua innocenza. Negli Stati Uniti, i tribunali possono richiedere agli imputati di rivelare informazioni che potrebbero provare o confutare le accuse contro di loro. Questa strategia, spesso definita "spedizione di pesca", potrebbe essere l'obiettivo principale del team legale di Hofmann.
Ilia Kolochenko, CEO di ImmuniWeb ed esperto legale, ha osservato che tali tattiche sono più comuni negli Stati Uniti che in Europa, dove l'onere della prova ricade solitamente sul querelante. Se il tribunale obbliga NPD a divulgare informazioni sulla presunta violazione, ciò potrebbe comportare conseguenze significative per l'azienda.
Il quadro generale e ciò che sappiamo finora
Nonostante l'azione legale e la frenesia mediatica, non c'è ancora una prova definitiva che l'NPD sia stato violato. I dati in circolazione potrebbero provenire da altre fonti o essere stati compilati da registri pubblici, piuttosto che essere stati esfiltrati dall'NPD. Persino fonti affidabili come Bleeping Computer, che ha esaminato campioni dei dati trapelati, non hanno potuto confermare che le informazioni provenissero dall'NPD.
Inoltre, la presunta violazione solleva interrogativi sull'enorme volume di dati presumibilmente rubati. Gli esperti hanno espresso scetticismo sulla fattibilità di esfiltrare 2,9 miliardi di record senza essere scoperti, soprattutto data la natura sensibile delle informazioni gestite da NPD.
Il futuro incerto: in attesa della verità
Finora, NPD non ha commentato la presunta violazione, né ha fatto alcuna comunicazione ufficiale agli enti regolatori negli Stati Uniti, nel Regno Unito o in Canada. La verità dietro la violazione potrebbe venire alla luce solo se i tribunali richiederanno una risposta formale da NPD.
Nel frattempo, le accuse hanno scatenato preoccupazione e speculazioni diffuse. Resta da vedere se queste affermazioni saranno comprovate o dimostrate false, ma la situazione serve a ricordare i potenziali rischi associati alle violazioni dei dati nell'era digitale odierna.
Mentre aspettiamo maggiori informazioni, è fondamentale affrontare la situazione con cautela. Sebbene non si possa escludere la possibilità di una violazione presso l'NPD, la mancanza di prove concrete significa che la verità potrebbe essere più complessa di quanto suggeriscano i titoli.