Tariamas 2,9 milijardo įrašų duomenų pažeidimas sukelia žiniasklaidos isteriją ir teisinius veiksmus prieš nacionalinius viešuosius duomenis
Neseniai pasklidę gandai apie didžiulį duomenų pažeidimą, susijusį su Nacionaliniais viešaisiais duomenimis (NPD), svarbia asmens duomenų tikrinimo tarnyba, pakurstė žiniasklaidą ir sukėlė daugybę ieškinių. Nepaisant didelio dėmesio, tariamo pažeidimo tiesa tebėra apgaubta netikrumo, o konkrečių įrodymų teiginiams pagrįsti yra mažai.
Turinys
Tviteris, kuris pakurstė audrą
Pirmieji šnabždesiai apie galimą pažeidimą pasirodė 2024 m. balandžio 8 d., kai vartotojas, vardu HackManac, paskelbė X (anksčiau Twitter) apie stulbinančius 2,9 mlrd. įrašų, tariamai išfiltruotų iš NPD duomenų bazių. Remiantis įrašu, duomenis, įskaitant JAV, Kanados ir Jungtinės Karalystės piliečių įrašus, grėsmės veikėjas, žinomas kaip USDoD, pasiūlė parduoti už 3,5 mln. Nepaisant pretenzijos rimtumo, pagrindinė žiniasklaida į įrašą iš esmės nepaisė, o NPD nepateikė atsakymo.
Po šio pradinio įrašo 2024 m. birželio 2 d. buvo paskelbtas kitas gerai žinomos kibernetinio saugumo bendruomenės „vx-underground“. Jie teigė peržiūrėję duomenų pavyzdį ir patvirtinę jų autentiškumą. Visgi žiniasklaida ir NPD tylėjo.
Prasidėjus grupinių ieškinių ieškiniams prasidėjęs teisinis nusižengimas
Situacija dramatiškai pasikeitė 2024 m. rugpjūčio 1 d., kai Christopheris Hofmannas pateikė grupės ieškinį NPD. Hofmannas teigė, kad per pažeidimą buvo pažeista jo asmens tapatybę identifikuojanti informacija (PII), motyvuodamas jo apsaugos nuo tapatybės vagystės tarnybos pranešimu. Šis ieškinys kartu su kitais trimis tariamų aukų pateiktais ieškiniais dar nepateikė konkrečių įrodymų, siejančių išfiltruotus duomenis tiesiogiai su NPD.
Hofmanno ieškinys, kuriame vx-underground postas naudojamas kaip pagrindinis įrodymas, yra kupinas neatitikimų. Pavyzdžiui, iš pradžių pažeidimas priskiriamas USDoD, tačiau vėliau pataisymai parodė, kad už tai galėjo būti atsakingas kitas grėsmės veikėjas, žinomas kaip SXUL. Be to, ieškinys padidina įrašų skaičių nuo 2,9 milijardo iki „milijonų asmenų“, o tai gerokai viršija bendrą JAV, Kanados ir JK gyventojų skaičių.
Galima žvejybos ekspedicija?
Ekspertai teigia, kad ieškinys gali būti ne toks, kaip įrodinėti NPD kaltę, o labiau – įpareigoti įmonę pateikti savo nekaltumo įrodymus. JAV teismai gali reikalauti, kad atsakovai atskleistų informaciją, kuri galėtų įrodyti arba paneigti jiems pareikštus reikalavimus. Ši strategija, dažnai vadinama „žvejybos ekspedicija“, gali būti pagrindinis Hofmanno teisinės komandos tikslas.
„ImmuniWeb“ generalinis direktorius ir teisės ekspertas Ilia Kolochenko pažymėjo, kad tokia taktika labiau paplitusi JAV nei Europoje, kur įrodinėjimo našta paprastai tenka ieškovui. Jeigu teismas įpareigotų NPD atskleisti informaciją apie tariamą pažeidimą, tai įmonei gali sukelti didelių pasekmių.
Didesnis paveikslas ir tai, ką mes žinome iki šiol
Nepaisant teisinių veiksmų ir žiniasklaidos siautulio, vis dar nėra galutinių įrodymų, kad NPD buvo pažeistas. Platinami duomenys galėjo būti kilę iš kitų šaltinių arba surinkti iš viešųjų įrašų, o ne išfiltruoti iš NPD. Net patikimi šaltiniai, tokie kaip „Bleeping Computer“, kurie peržiūrėjo nutekintų duomenų pavyzdžius, negalėjo patvirtinti, kad informacija buvo gauta iš NPD.
Be to, dėl įtariamo pažeidimo kyla klausimų dėl didžiulio, kaip pranešama, pavogtų duomenų kiekio. Ekspertai išreiškė skeptišką nuomonę dėl galimybės išfiltruoti 2,9 milijardo įrašų neaptikus, ypač atsižvelgiant į jautrų NPD tvarkomos informacijos pobūdį.
Neaiški ateitis: laukiame tiesos
Iki šiol NPD nekomentavo tariamo pažeidimo ir nepateikė jokios oficialios informacijos JAV, JK ar Kanados reguliavimo institucijoms. Pažeidimo tiesa gali paaiškėti tik tuomet, jei teismai pareikalaus oficialaus NPD atsakymo.
Tuo tarpu kaltinimai sukėlė platų susirūpinimą ir spėliones. Ar šie teiginiai bus pagrįsti, ar įrodyta, kad jie klaidingi, dar reikia pamatyti, tačiau situacija primena galimą riziką, susijusią su duomenų pažeidimais šiuolaikiniame skaitmeniniame amžiuje.
Kol laukiame daugiau informacijos, labai svarbu į situaciją žiūrėti atsargiai. Nors negalima atmesti NPD pažeidimo galimybės, konkrečių įrodymų trūkumas reiškia, kad tiesa gali būti sudėtingesnė, nei rodo antraštės.